Intel Management Engine - Ist MacOS anfällig?

23

Dies ist zum Beispiel aufgrund der kabelgebundenen Berichterstattung eine große schlechte Nachricht. Kritisches Firmware-Update für die Intel® Management Engine (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Ist Apple Hardware / MacOS anfällig?

Matthew Elvey
quelle
3
Um weitere Verwirrung zu vermeiden: Im Mai gab es einen weiteren Fehler im Zusammenhang mit IME, INTEL-SA-00075 , der anscheinend keine Auswirkungen auf Apple-Produkte hatte. In mehreren Antworten auf diese Frage wurde fälschlicherweise auf Informationen zu der früheren Sicherheitsanfälligkeit verwiesen. Diese Frage bezieht sich jedoch auf eine kürzlich gemeldete Sicherheitsanfälligkeit, INTEL-SA-00086 .
Nat

Antworten:

10

Erstens: Nicht macOS selbst ist an erster Stelle anfällig, sondern die Firmware und die zugehörige Hardware sind betroffen. In einem zweiten Schritt kann Ihr System jedoch angegriffen werden.

Nur einige der betroffenen Prozessoren sind auf Macs installiert:

  • Intel® Core ™ -Prozessorfamilie der 6. und 7. Generation

Ich habe einige zufällige Firmwaredateien mit dem Tool MEAnalyzer überprüft und mindestens einige gefunden, die Intel Management Engine-Code enthalten:

Dies ist das MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Ein ME-Eintrag in Family kennzeichnet den Code der Management Engine.

In einer EFIFirmware2015Update.pkg- Datei enthalten 2 von 21 Firmwaredateien Intel Management Engine-Code, der möglicherweise von CVE-2017-5705 | 5708 | 5711 | 5712 betroffen ist.

In macOS 10.13.1 update.pkg enthalten 21 von 46 Firmwaredateien Intel Management Engine-Code, der möglicherweise von CVE-2017-5705 | 5708 | 5711 | 5712 betroffen ist.

Eine Quelle und eine damit verknüpfte Quelle besagen, dass "Intel ME in jeder CPU gebacken ist, aber laut The Register ( 0 ) der AMT-Teil nicht auf Apple-Hardware läuft." AMT hängt auch mit einer älteren Sicherheitsanfälligkeit zusammen, und der Link "Registrieren" verweist darauf. In diesem Fall ist die Firmware möglicherweise nicht von CVE-2017-5711 | 5712 betroffen, da AMT auf Macs nicht vorhanden ist.

Einige der jüngsten Sicherheitslücken erfordern jedoch kein AMT.


Meiner Meinung nach ist unklar, ob Macs von der Sicherheitslücke Intel Q3'17 ME 11.x betroffen sind - das kann wahrscheinlich nur Apple feststellen. Zumindest Macs sind von den Fehlern in SPS 4.0 und TXE 3.0 nicht betroffen!

klanomath
quelle
@Nat Du hast recht: offensichtlich habe ich den ersten Halbsatz verpasst ...
klanomath
Lesen Sie die Antwort von @ vykor und die Links, auf die es verweist.
Gilby
2
@ Gilby Wie in meinem Beitrag erwähnt, verlassen sich zwei der Schwachstellen nicht auf AMT: CVE-2017-5705 | 5708!
klanomath
6

Screenshot, wenn das Intel-Erkennungstool im Bootcamp auf einem Q32017 MacBook Pro Intel-Erkennungstool ausgeführt wird: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Schlechte Nachrichten, Leute

Screenshot, wenn das Intel Detection Tool im Boot Camp auf einem Q32017 MacBook Pro ausgeführt wird

Pacertracer
quelle
Diese neueste Antwort scheint ziemlich überzeugend zu sein - ein relativ einfacher und unkomplizierter Beweis dafür, dass die Antwort ja lautet.
Matthew Elvey
Ich wünschte wirklich, ein verwandter Geist würde dies für das 2015 Macbook Pro tun.
Nostalg.io
4

Ich kann mit Informationen direkt aus meinem lokalen Apple Store bestätigen, dass Intel-Macs tatsächlich mit Intel ME-Hardware geliefert werden und dass Apple keine Intel-Hardware modifiziert. Obwohl ich zum jetzigen Zeitpunkt nicht bestätigen oder leugnen kann, dass Macs Intel-Firmware ausführen oder nicht für mich, scheinen die anderen Antworten auf diese Frage darauf hinzudeuten, dass sie Intel-Firmware ausführen.

Ich wage zu behaupten, dass Apple-Computer alle anfällig sind und weitaus dramatischer betroffen sind als andere Computer, auf denen zum Zeitpunkt dieses Beitrags bereits Patches zum Herunterladen verfügbar waren. Der Grund dafür ist, dass viele Macs anscheinend veraltete Intel-Firmware haben, vorausgesetzt, sie haben diese und die Python-Skripte, mit denen andere die Version ihrer Firmware überprüfen, sind nicht fehlerhaft oder spielen auf die von Apple geschriebene Firmware für die ME-Hardware an in der Maschine vorhanden. Klanomath, Ihre Maschine scheint mit einer älteren Version als 9.5.3 der ME-Firmware ziemlich durcheinander zu sein. Diese 11.6.5-Firmware auf einem anderen Computer ist laut Intel-Audit ebenfalls eindeutig verwundbar, wie hier zu sehen ist:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Sie müssen auf 11.8.0 oder höher aktualisieren. Insbesondere ist dieser Hack so beunruhigend, weil er "einem Angreifer mit lokalem Zugriff auf das System die Ausführung von beliebigem Code ermöglicht. Mehrfache Rechteerweiterungen ... ermöglichen nicht autorisierten Prozessen den Zugriff auf privilegierten Inhalt über einen nicht angegebenen Vektor. ... erlauben Angreifer mit lokalem Zugriff auf das System zu beliebigem Code mit AMT Ausführung Privileg auszuführen. ... Angreifer erlaubt , mit Remote - Admin - Zugriff auf das System mit AMT Ausführung Privileg , beliebigen Code auszuführen. "

"Willkürlichen Code ausführen, Rechte ausbauen, Fernzugriff auf das System und willkürlichen Code ausführen." Das ist verrückt! Vor allem, weil Intel ME den Fernzugriff auch bei ausgeschaltetem System ermöglicht, obwohl dies möglicherweise nur mit AMT-Software möglich ist, über die Apple anscheinend nicht verfügt.

Robert Wilson
quelle
Die im Kommentar zu jksoegaards Antwort erwähnte Firmware (IM144_0179_B12_LOCKED.scap) ist nicht die Firmware meines Computers, sondern die eines iMac "Core i5" 1.4 21.5-Inch (Mitte 2014), den ich aus dem Mac EFI Security Update 2015-002 extrahiert habe . ). Ich denke, die Firmware meines iMac ist älter.
klanomath
0

Auszug aus INTEL-SA-00086: "Der Angreifer erhält physischen Zugriff durch manuelles Aktualisieren der Plattform mit einem schädlichen Firmware-Image über einen Flash-Programmierer, der physisch mit dem Flash-Speicher der Plattform verbunden ist."

Sofern Ihr Apple-Produkt nicht in einem öffentlichen Labor betrieben wird, in dem schändliche Personen möglicherweise physischen Zugriff auf das Gerät erhalten, müssen Sie sich wahrscheinlich keine Sorgen machen. Die Sicherheitsempfehlung erwähnt es nicht, aber ich habe an anderer Stelle in einem PC / Windows-Forum gelesen, dass der Angriff auf die Flash Descriptor-Firmware über einen USB-Anschluss (Flash-Laufwerk) erfolgt. Es gibt bereits eine USB-Flash-Technologie, um einen Apple-Computer mit einem eingeschränkten Linux-Kernel auf einem Flash-Laufwerk zu hijacken. Für die meisten Menschen wird dies kein großes Problem sein.

Craig
quelle
2
Während dies zutrifft, gibt es einige andere ME-Sachen, die möglicherweise aus der Ferne funktionieren könnten. Beachten Sie, dass die Firmware-Updates unter macOS keinen physischen Zugriff erfordern, da sie alle von und auf Betriebssystemebene initialisiert werden. Wenn ein böswilliges Update eingespritzt werden könnte (derzeit kein AFAIK möglich, aber es ist plausibel, dass zukünftig ein Problem in dieser Richtung vorliegt), dann wäre dies sehr problematisch, wenn Macs eine Version des ME verwenden würden, die anfällig ist.
JMY1000,