Moteur de gestion Intel - macOS est-il vulnérable?

23

Sur la base, par exemple, du rapport Wired, il s'agit d'une mauvaise nouvelle majeure. Mise à jour du micrologiciel critique du moteur de gestion Intel® (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Le matériel Apple / macOS est-il vulnérable?

Matthew Elvey
la source
3
Pour éviter toute confusion supplémentaire: il y avait un autre bogue lié à IME en mai, INTEL-SA-00075 , qui ne semblait pas affecter les produits Apple. Plusieurs des réponses qui sont apparues à cette question ont référencé par erreur des informations sur la vulnérabilité antérieure. Cependant, cette question concerne une vulnérabilité signalée plus récemment, INTEL-SA-00086 .
Nat

Réponses:

10

Premièrement: ce n'est pas macOS lui-même qui est vulnérable en premier lieu, mais le micrologiciel et le matériel connexe sont affectés. Dans un deuxième temps, votre système peut être attaqué.

Seuls certains des processeurs concernés sont installés sur les Mac:

  • Famille de processeurs Intel® Core ™ de 6e et 7e génération

J'ai vérifié certains fichiers de firmware aléatoires avec l'outil MEAnalyzer et trouvé au moins certains contenant du code Intel Management Engine:

Voici le MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Une entrée ME dans la famille indique le code du moteur de gestion.

Dans un fichier EFIFirmware2015Update.pkg, 2 des 21 fichiers de firmware contiennent le code Intel Management Engine qui peut être affecté par CVE-2017-5705 | 5708 | 5711 | 5712.

Dans macOS 10.13.1 update.pkg, 21 des 46 fichiers de micrologiciel contiennent le code Intel Management Engine qui peut être affecté par CVE-2017-5705 | 5708 | 5711 | 5712.

Une source et une source liée indiquent que "Intel ME est intégré dans chaque CPU mais selon The Register ( 0 ), la partie AMT ne fonctionne pas sur le matériel Apple." AMT est également lié à une vulnérabilité plus ancienne et le lien Register s'y réfère. Ensuite, le micrologiciel peut ne pas être affecté par CVE-2017-5711 | 5712 car AMT n'est pas présent sur les Mac.

Mais certaines des vulnérabilités récentes ne nécessitent pas AMT.


À mon avis, il n'est pas clair si les Mac sont affectés par la vulnérabilité Intel Q3'17 ME 11.x - probablement seul Apple peut le dire. Au moins, les Mac ne sont pas affectés par les bugs SPS 4.0 et TXE 3.0!

klanomath
la source
@Nat Vous avez raison: j'ai évidemment manqué la première moitié de phrase ...
klanomath
Lisez la réponse de @ vykor et les liens vers lesquels elle pointe.
Gilby
2
@Gilby Comme mentionné dans mon article, deux des vulnérabilités ne dépendent pas d'AMT: CVE-2017-5705 | 5708!
klanomath
6

Capture d'écran si l'outil de détection Intel s'exécute dans le camp d'entraînement sur un outil de détection Intel MacBook Pro Q32017: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Mauvaises nouvelles

Capture d'écran si l'outil de détection Intel fonctionne dans le camp d'entraînement sur un MacBook Pro Q32017

pacertracer
la source
Cette nouvelle réponse semble plutôt convaincante - une preuve relativement simple et directe que la réponse est oui.
Matthew Elvey
Je souhaite vraiment qu'un esprit similaire fasse cela pour le Macbook Pro 2015.
Nostalg.io
4

Je peux confirmer, avec des informations directement de mon Apple Store local, que les Mac Intel sont effectivement livrés avec du matériel Intel ME et qu'Apple ne modifie aucun matériel Intel. Bien qu'à ce stade, je ne puisse pas confirmer ou nier que les macs exécutent le micrologiciel Intel ou non pour ME, les autres réponses à cette question semblent suggérer qu'ils exécutent le micrologiciel Intel.

J'ose dire que les machines Apple sont toutes vulnérables et sont affectées de manière beaucoup plus dramatique que d'autres machines qui ont déjà des correctifs disponibles au téléchargement au moment de ce billet. La raison en est que de nombreux macs semblent avoir un firmware Intel obsolète, en supposant qu'ils l'aient et que les scripts python que d'autres personnes utilisent pour vérifier la version de leur firmware ne soient pas erronés, ou faisant allusion à un firmware écrit par Apple pour le matériel ME qui est présent dans la machine. Klanomath, votre machine semble être assez vissée avec une ancienne version 9.5.3 du firmware ME. Ce firmware 11.6.5 sur une autre machine est également clairement vulnurable, selon l'audit Intel, comme on le voit ici:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Vous devez mettre à jour vers 11.8.0 ou plus. En particulier, ce hack est si troublant car il "permet à [un] attaquant disposant d'un accès local au système d' exécuter du code arbitraire. De multiples escalades de privilèges ... permettent à un processus non autorisé d'accéder à du contenu privilégié via un vecteur non spécifié. ... autoriser un attaquant disposant d'un accès local au système à exécuter du code arbitraire avec le privilège d'exécution AMT. ... permet à un attaquant disposant d'un accès administrateur distant au système d'exécuter du code arbitraire avec le privilège d'exécution AMT. "

"Exécuter du code arbitraire, élévation de privilèges, accès à distance au système et exécuter du code arbitraire." C'est insensé! Surtout parce qu'Intel ME permet un accès à distance même lorsqu'un système est hors tension, bien que cela ne soit possible qu'avec le logiciel AMT, ce que Apple n'a apparemment pas.

Robert Wilson
la source
Le firmware (IM144_0179_B12_LOCKED.scap) mentionné dans le commentaire à la réponse de jksoegaard n'est pas le firmware de ma machine mais celui d'un iMac "Core i5" 1.4 21,5 pouces (mi-2014) que j'ai extrait de la mise à jour de sécurité Mac EFI 2015-002 ; - ). Je pense que le firmware de mon iMac est plus ancien.
klanomath
0

Extrait d'INTEL-SA-00086: "L'attaquant obtient un accès physique en mettant à jour manuellement la plateforme avec une image de firmware malveillant via un programmeur flash physiquement connecté à la mémoire flash de la plateforme."

À moins que votre produit Apple ne fonctionne dans un laboratoire public où des personnes infâmes peuvent accéder physiquement à l'appareil, vous n'avez probablement pas grand-chose à craindre. L'avis de sécurité ne le mentionne pas, mais j'ai lu ailleurs sur un forum PC / Windows que l'attaque vient du firmware Flash Descriptor via un port USB (lecteur flash). Il existe déjà une technologie flash USB pour détourner un ordinateur Apple à l'aide d'un noyau Linux limité sur un lecteur flash. Pour la plupart des gens, ce ne sera pas vraiment un problème.

Craig
la source
2
Bien que cela soit vrai pour cela, il y a d'autres choses ME qui pourraient potentiellement fonctionner à distance. Notez que les mises à jour du firmware sur macOS ne nécessitent pas d'accès physique car elles sont toutes initialisées à partir de et au niveau du système d'exploitation; si une mise à jour malveillante pouvait être injectée (AFAIK actuellement impossible, mais plausible qu'un problème à l'avenir se situe dans ce sens) alors - si les Mac utilisaient une version de ME qui était vulnérable, alors ce serait très problématique.
JMY1000