Công cụ quản lý Intel - macOS có dễ bị tấn công không?

Dựa trên, ví dụ, báo cáo Wired, đây là tin xấu lớn. Cập nhật phần mềm quan trọng cho công cụ quản lý Intel® (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Phần cứng / macOS của Apple có dễ bị tấn công không?

Thứ nhất: bản thân nó không phải là macOS dễ bị tổn thương mà phần sụn và phần cứng liên quan bị ảnh hưởng. Trong bước thứ hai, hệ thống của bạn có thể bị tấn công.

Chỉ một số bộ xử lý bị ảnh hưởng được cài đặt trong máy Mac:

• Họ bộ xử lý Intel® Core ™ thế hệ thứ 6 và thứ 7

Tôi đã kiểm tra một số tệp chương trình cơ sở ngẫu nhiên bằng công cụ MEAnalyzer và tìm thấy ít nhất một số có chứa mã Công cụ quản lý Intel:

Đây là MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Một mục ME trong Family biểu thị mã Công cụ quản lý.

Trong EFIFirmware2015Update.pkg 2 trong số 21 tệp chương trình cơ sở chứa mã Công cụ quản lý Intel có thể bị ảnh hưởng bởi CVE-2017-5705 | 5708 | 5711 | 5712.

Trong bản cập nhật macOS 10.13.1.pkg 21 trên 46 tệp chương trình cơ sở chứa mã Công cụ quản lý Intel có thể bị ảnh hưởng bởi CVE-2017-5705 | 5708 | 5711 | 5712.

Một nguồn và một nguồn được liên kết trong đó nêu rõ rằng "Intel ME được nướng trong mọi CPU nhưng theo Đăng ký ( 0 ), phần AMT không chạy trên phần cứng của Apple." AMT cũng liên quan đến một lỗ hổng cũ và liên kết Đăng ký đề cập đến điều này. Sau đó, phần sụn có thể không bị ảnh hưởng bởi CVE-2017-5711 | 5712 vì AMT không có trên máy Mac.

Nhưng một số lỗ hổng gần đây không yêu cầu AMT.

Theo tôi, không rõ liệu máy Mac có bị ảnh hưởng bởi lỗ hổng Intel Q3'17 ME 11.x hay không - có lẽ chỉ Apple mới có thể biết được. Ít nhất máy Mac không bị ảnh hưởng bởi các lỗi SPS 4.0 và TXE 3.0!

Ảnh chụp màn hình nếu công cụ phát hiện intel chạy trong trại khởi động trên công cụ phát hiện Intel MacBook Pro Q32017: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Những kẻ xấu

Tôi có thể xác nhận, với thông tin trực tiếp từ Apple Store địa phương của tôi, rằng máy Mac của Intel thực sự được bán kèm với phần cứng Intel ME và Apple không sửa đổi bất kỳ phần cứng nào của Intel. Mặc dù tại thời điểm này tôi không thể xác nhận hoặc phủ nhận rằng máy Mac có chạy firmware Intel hay không cho ME, nhưng các câu trả lời khác cho câu hỏi này dường như gợi ý rằng chúng có chạy firmware Intel.

Tôi dám nói rằng tất cả các máy của Apple đều dễ bị tổn thương và bị ảnh hưởng theo cách kịch tính hơn nhiều so với các máy khác đã có sẵn các bản vá để tải xuống tại thời điểm đăng bài này. Lý do là nhiều máy Mac dường như đã lỗi thời với firmware Intel, giả sử họ có nó và các tập lệnh python mà người khác đang sử dụng để kiểm tra phiên bản phần sụn của họ không có lỗi, hoặc ám chỉ phần sụn được Apple tùy chỉnh cho phần cứng ME có mặt trong máy. Klanomath, máy của bạn dường như khá vặn vẹo với phiên bản phần mềm ME phiên bản 9.5.3 cũ. Phần sụn 11.6.5 trên một máy khác cũng rõ ràng là không thể kiểm soát được, theo kiểm toán intel, như đã thấy ở đây:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&linguid=en-fr

Bạn cần cập nhật lên 11.8.0 trở lên. Đặc biệt, vụ hack này rất rắc rối vì nó "cho phép kẻ tấn công có quyền truy cập cục bộ vào hệ thống để thực thi mã tùy ý. Nhiều lần leo thang đặc quyền ... cho phép quá trình trái phép truy cập nội dung đặc quyền thông qua véc tơ không xác định. ... cho phép kẻ tấn công có quyền truy cập cục bộ vào hệ thống để thực thi mã tùy ý với đặc quyền thực thi AMT. ... cho phép kẻ tấn công có quyền truy cập Quản trị viên từ xa vào hệ thống để thực thi mã tùy ý với đặc quyền thực thi AMT. "

"Thực thi mã tùy ý, leo thang đặc quyền, truy cập từ xa vào hệ thống và thực thi mã tùy ý." Điều này thật điên rồ! Đặc biệt là vì Intel ME cho phép truy cập từ xa ngay cả khi tắt hệ thống, mặc dù điều đó chỉ có thể với phần mềm AMT, điều mà dường như Apple không có.

Trích từ INTEL-SA-00086: "Kẻ tấn công có được quyền truy cập vật lý bằng cách cập nhật thủ công nền tảng với hình ảnh phần mềm độc hại thông qua lập trình flash được kết nối vật lý với bộ nhớ flash của nền tảng."

Trừ khi sản phẩm Apple của bạn đang hoạt động trong phòng thí nghiệm công cộng, nơi những người bất chính có thể có quyền truy cập vật lý vào thiết bị, bạn có thể không phải lo lắng nhiều. Lời khuyên bảo mật không đề cập đến nó, nhưng tôi đã đọc ở nơi khác trên diễn đàn PC / Windows, cuộc tấn công đến phần mềm Flash Descriptor thông qua cổng USB (ổ đĩa flash). Hiện đã có công nghệ USB-flash để chiếm quyền điều khiển máy tính Apple sử dụng nhân Linux giới hạn trên ổ đĩa flash. Đối với hầu hết mọi người, điều này sẽ không thành vấn đề.