Intel Management Engine - Ist MacOS anfällig?

Dies ist zum Beispiel aufgrund der kabelgebundenen Berichterstattung eine große schlechte Nachricht. Kritisches Firmware-Update für die Intel® Management Engine (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Ist Apple Hardware / MacOS anfällig?

Erstens: Nicht macOS selbst ist an erster Stelle anfällig, sondern die Firmware und die zugehörige Hardware sind betroffen. In einem zweiten Schritt kann Ihr System jedoch angegriffen werden.

Nur einige der betroffenen Prozessoren sind auf Macs installiert:

• Intel® Core ™ -Prozessorfamilie der 6. und 7. Generation

Ich habe einige zufällige Firmwaredateien mit dem Tool MEAnalyzer überprüft und mindestens einige gefunden, die Intel Management Engine-Code enthalten:

Dies ist das MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Ein ME-Eintrag in Family kennzeichnet den Code der Management Engine.

In einer EFIFirmware2015Update.pkg- Datei enthalten 2 von 21 Firmwaredateien Intel Management Engine-Code, der möglicherweise von CVE-2017-5705 | 5708 | 5711 | 5712 betroffen ist.

In macOS 10.13.1 update.pkg enthalten 21 von 46 Firmwaredateien Intel Management Engine-Code, der möglicherweise von CVE-2017-5705 | 5708 | 5711 | 5712 betroffen ist.

Eine Quelle und eine damit verknüpfte Quelle besagen, dass "Intel ME in jeder CPU gebacken ist, aber laut The Register ( 0 ) der AMT-Teil nicht auf Apple-Hardware läuft." AMT hängt auch mit einer älteren Sicherheitsanfälligkeit zusammen, und der Link "Registrieren" verweist darauf. In diesem Fall ist die Firmware möglicherweise nicht von CVE-2017-5711 | 5712 betroffen, da AMT auf Macs nicht vorhanden ist.

Einige der jüngsten Sicherheitslücken erfordern jedoch kein AMT.

Meiner Meinung nach ist unklar, ob Macs von der Sicherheitslücke Intel Q3'17 ME 11.x betroffen sind - das kann wahrscheinlich nur Apple feststellen. Zumindest Macs sind von den Fehlern in SPS 4.0 und TXE 3.0 nicht betroffen!

Screenshot, wenn das Intel-Erkennungstool im Bootcamp auf einem Q32017 MacBook Pro Intel-Erkennungstool ausgeführt wird: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Schlechte Nachrichten, Leute

Ich kann mit Informationen direkt aus meinem lokalen Apple Store bestätigen, dass Intel-Macs tatsächlich mit Intel ME-Hardware geliefert werden und dass Apple keine Intel-Hardware modifiziert. Obwohl ich zum jetzigen Zeitpunkt nicht bestätigen oder leugnen kann, dass Macs Intel-Firmware ausführen oder nicht für mich, scheinen die anderen Antworten auf diese Frage darauf hinzudeuten, dass sie Intel-Firmware ausführen.

Ich wage zu behaupten, dass Apple-Computer alle anfällig sind und weitaus dramatischer betroffen sind als andere Computer, auf denen zum Zeitpunkt dieses Beitrags bereits Patches zum Herunterladen verfügbar waren. Der Grund dafür ist, dass viele Macs anscheinend veraltete Intel-Firmware haben, vorausgesetzt, sie haben diese und die Python-Skripte, mit denen andere die Version ihrer Firmware überprüfen, sind nicht fehlerhaft oder spielen auf die von Apple geschriebene Firmware für die ME-Hardware an in der Maschine vorhanden. Klanomath, Ihre Maschine scheint mit einer älteren Version als 9.5.3 der ME-Firmware ziemlich durcheinander zu sein. Diese 11.6.5-Firmware auf einem anderen Computer ist laut Intel-Audit ebenfalls eindeutig verwundbar, wie hier zu sehen ist:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Sie müssen auf 11.8.0 oder höher aktualisieren. Insbesondere ist dieser Hack so beunruhigend, weil er "einem Angreifer mit lokalem Zugriff auf das System die Ausführung von beliebigem Code ermöglicht. Mehrfache Rechteerweiterungen ... ermöglichen nicht autorisierten Prozessen den Zugriff auf privilegierten Inhalt über einen nicht angegebenen Vektor. ... erlauben Angreifer mit lokalem Zugriff auf das System zu beliebigem Code mit AMT Ausführung Privileg auszuführen. ... Angreifer erlaubt , mit Remote - Admin - Zugriff auf das System mit AMT Ausführung Privileg , beliebigen Code auszuführen. "

"Willkürlichen Code ausführen, Rechte ausbauen, Fernzugriff auf das System und willkürlichen Code ausführen." Das ist verrückt! Vor allem, weil Intel ME den Fernzugriff auch bei ausgeschaltetem System ermöglicht, obwohl dies möglicherweise nur mit AMT-Software möglich ist, über die Apple anscheinend nicht verfügt.

Auszug aus INTEL-SA-00086: "Der Angreifer erhält physischen Zugriff durch manuelles Aktualisieren der Plattform mit einem schädlichen Firmware-Image über einen Flash-Programmierer, der physisch mit dem Flash-Speicher der Plattform verbunden ist."

Sofern Ihr Apple-Produkt nicht in einem öffentlichen Labor betrieben wird, in dem schändliche Personen möglicherweise physischen Zugriff auf das Gerät erhalten, müssen Sie sich wahrscheinlich keine Sorgen machen. Die Sicherheitsempfehlung erwähnt es nicht, aber ich habe an anderer Stelle in einem PC / Windows-Forum gelesen, dass der Angriff auf die Flash Descriptor-Firmware über einen USB-Anschluss (Flash-Laufwerk) erfolgt. Es gibt bereits eine USB-Flash-Technologie, um einen Apple-Computer mit einem eingeschränkten Linux-Kernel auf einem Flash-Laufwerk zu hijacken. Für die meisten Menschen wird dies kein großes Problem sein.