Mecanismo de gerenciamento Intel - o macOS é vulnerável?

Com base, por exemplo, nos relatórios Wired, essas são as principais más notícias. Atualização crítica do firmware do mecanismo de gerenciamento Intel® (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

O hardware / macOS da Apple é vulnerável?

Primeiro: não é o próprio macOS vulnerável, mas o firmware e o hardware relacionado são afetados. Em um segundo passo, seu sistema pode ser atacado.

Apenas alguns dos processadores afetados estão instalados nos Macs:

• Família de processadores Intel® Core ™ de 6ª e 7ª geração

Verifiquei alguns arquivos aleatórios de firmware com a ferramenta MEAnalyzer e encontrei pelo menos alguns que continham o código do Intel Management Engine:

Este é o MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Uma entrada do ME na família indica o código do mecanismo de gerenciamento.

Em um EFIFirmware2015Update.pkg, 2 de 21 arquivos de firmware contêm o código do Intel Management Engine que pode ser afetado pelo CVE-2017-5705 | 5708 | 5711 | 5712.

No macOS 10.13.1 update.pkg, 21 de 46 arquivos de firmware contêm o código do Intel Management Engine que pode ser afetado pelo CVE-2017-5705 | 5708 | 5711 | 5712.

Uma fonte e uma fonte vinculada afirmam que "o Intel ME é instalado em todas as CPUs, mas de acordo com o The Register ( 0 ), a parte AMT não está sendo executada no hardware da Apple". A AMT também está relacionada a uma vulnerabilidade mais antiga e o link Register se refere a isso. O firmware pode não ser afetado pelo CVE-2017-5711 | 5712, pois o AMT não está presente nos Macs.

Mas algumas das vulnerabilidades recentes não requerem AMT.

Na minha opinião, não está claro se os Macs são afetados pela vulnerabilidade do Intel Q3'17 ME 11.x - provavelmente apenas a Apple pode saber. Pelo menos os Macs não são afetados pelos erros do SPS 4.0 e TXE 3.0!

Captura de tela se a ferramenta de detecção intel executar no campo de treinamento em uma ferramenta de detecção Intel MacBook Pro Q32017: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Caras más notícias

Posso confirmar, com informações diretamente da Apple Store local, que os Macs Intel são realmente fornecidos com o hardware Intel ME e que a Apple não modifica nenhum hardware Intel. Embora neste momento eu não possa confirmar ou negar que os macs executem o firmware Intel ou não para o ME, as outras respostas a esta pergunta parecem sugerir que eles executam o firmware da Intel.

Ouso dizer que as máquinas Apple são todas vulneráveis ​​e são afetadas de maneira muito mais dramática do que outras máquinas que já possuem patches disponíveis para download no momento desta publicação. O motivo é que muitos macs parecem ter desatualizado o firmware da Intel, supondo que o possuam e os scripts python que outras pessoas estão usando para verificar a versão do firmware não sejam errôneos ou aludindo ao firmware escrito da Apple personalizado para o hardware ME que é presente na máquina. Por outro lado, sua máquina parece estar bastante ferrada com uma versão antiga do firmware ME 9.5.3. Esse firmware 11.6.5 em outra máquina também é claramente vulnurável também, conforme a auditoria da Intel, como visto aqui:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Você precisa atualizar para 11.8.0 ou superior. Em particular, esse hack é tão preocupante porque "permite que um invasor com acesso local ao sistema execute código arbitrário. Múltiplas escalações de privilégios ... permitem que processos não autorizados acessem conteúdo privilegiado por meio de vetor não especificado. ... permite que o invasor com acesso local ao sistema execute código arbitrário com privilégio de execução da AMT ... permite que o invasor com acesso Admin remoto ao sistema execute código arbitrário com o privilégio de execução da AMT. "

"Execute código arbitrário, escalação de privilégios, acesso remoto ao sistema e execute código arbitrário." Isso é uma loucura! Especialmente porque o Intel ME permite acesso remoto, mesmo quando o sistema está desligado, embora isso possa acontecer apenas com o software AMT, que aparentemente a Apple não possui.

Trecho da INTEL-SA-00086: "O invasor obtém acesso físico atualizando manualmente a plataforma com uma imagem de firmware mal-intencionada através do programador flash fisicamente conectado à memória flash da plataforma".

A menos que seu produto Apple esteja operando em um laboratório público, onde pessoas nefastas podem obter acesso físico ao dispositivo, você provavelmente não terá muito com que se preocupar. O aviso de segurança não menciona, mas li em outro lugar do fórum do PC / Windows que o ataque ocorre com o firmware do Flash Descriptor através de uma porta USB (unidade flash). Já existe a tecnologia flash USB para seqüestrar um computador Apple usando um kernel Linux limitado em uma unidade flash. Para a maioria das pessoas, isso não será um problema.