Moteur de gestion Intel - macOS est-il vulnérable?

Sur la base, par exemple, du rapport Wired, il s'agit d'une mauvaise nouvelle majeure. Mise à jour du micrologiciel critique du moteur de gestion Intel® (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Le matériel Apple / macOS est-il vulnérable?

Premièrement: ce n'est pas macOS lui-même qui est vulnérable en premier lieu, mais le micrologiciel et le matériel connexe sont affectés. Dans un deuxième temps, votre système peut être attaqué.

Seuls certains des processeurs concernés sont installés sur les Mac:

• Famille de processeurs Intel® Core ™ de 6e et 7e génération

J'ai vérifié certains fichiers de firmware aléatoires avec l'outil MEAnalyzer et trouvé au moins certains contenant du code Intel Management Engine:

Voici le MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Une entrée ME dans la famille indique le code du moteur de gestion.

Dans un fichier EFIFirmware2015Update.pkg, 2 des 21 fichiers de firmware contiennent le code Intel Management Engine qui peut être affecté par CVE-2017-5705 | 5708 | 5711 | 5712.

Dans macOS 10.13.1 update.pkg, 21 des 46 fichiers de micrologiciel contiennent le code Intel Management Engine qui peut être affecté par CVE-2017-5705 | 5708 | 5711 | 5712.

Une source et une source liée indiquent que "Intel ME est intégré dans chaque CPU mais selon The Register ( 0 ), la partie AMT ne fonctionne pas sur le matériel Apple." AMT est également lié à une vulnérabilité plus ancienne et le lien Register s'y réfère. Ensuite, le micrologiciel peut ne pas être affecté par CVE-2017-5711 | 5712 car AMT n'est pas présent sur les Mac.

Mais certaines des vulnérabilités récentes ne nécessitent pas AMT.

À mon avis, il n'est pas clair si les Mac sont affectés par la vulnérabilité Intel Q3'17 ME 11.x - probablement seul Apple peut le dire. Au moins, les Mac ne sont pas affectés par les bugs SPS 4.0 et TXE 3.0!

Capture d'écran si l'outil de détection Intel s'exécute dans le camp d'entraînement sur un outil de détection Intel MacBook Pro Q32017: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Mauvaises nouvelles

Je peux confirmer, avec des informations directement de mon Apple Store local, que les Mac Intel sont effectivement livrés avec du matériel Intel ME et qu'Apple ne modifie aucun matériel Intel. Bien qu'à ce stade, je ne puisse pas confirmer ou nier que les macs exécutent le micrologiciel Intel ou non pour ME, les autres réponses à cette question semblent suggérer qu'ils exécutent le micrologiciel Intel.

J'ose dire que les machines Apple sont toutes vulnérables et sont affectées de manière beaucoup plus dramatique que d'autres machines qui ont déjà des correctifs disponibles au téléchargement au moment de ce billet. La raison en est que de nombreux macs semblent avoir un firmware Intel obsolète, en supposant qu'ils l'aient et que les scripts python que d'autres personnes utilisent pour vérifier la version de leur firmware ne soient pas erronés, ou faisant allusion à un firmware écrit par Apple pour le matériel ME qui est présent dans la machine. Klanomath, votre machine semble être assez vissée avec une ancienne version 9.5.3 du firmware ME. Ce firmware 11.6.5 sur une autre machine est également clairement vulnurable, selon l'audit Intel, comme on le voit ici:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Vous devez mettre à jour vers 11.8.0 ou plus. En particulier, ce hack est si troublant car il "permet à [un] attaquant disposant d'un accès local au système d' exécuter du code arbitraire. De multiples escalades de privilèges ... permettent à un processus non autorisé d'accéder à du contenu privilégié via un vecteur non spécifié. ... autoriser un attaquant disposant d'un accès local au système à exécuter du code arbitraire avec le privilège d'exécution AMT. ... permet à un attaquant disposant d'un accès administrateur distant au système d'exécuter du code arbitraire avec le privilège d'exécution AMT. "

"Exécuter du code arbitraire, élévation de privilèges, accès à distance au système et exécuter du code arbitraire." C'est insensé! Surtout parce qu'Intel ME permet un accès à distance même lorsqu'un système est hors tension, bien que cela ne soit possible qu'avec le logiciel AMT, ce que Apple n'a apparemment pas.

Extrait d'INTEL-SA-00086: "L'attaquant obtient un accès physique en mettant à jour manuellement la plateforme avec une image de firmware malveillant via un programmeur flash physiquement connecté à la mémoire flash de la plateforme."

À moins que votre produit Apple ne fonctionne dans un laboratoire public où des personnes infâmes peuvent accéder physiquement à l'appareil, vous n'avez probablement pas grand-chose à craindre. L'avis de sécurité ne le mentionne pas, mais j'ai lu ailleurs sur un forum PC / Windows que l'attaque vient du firmware Flash Descriptor via un port USB (lecteur flash). Il existe déjà une technologie flash USB pour détourner un ordinateur Apple à l'aide d'un noyau Linux limité sur un lecteur flash. Pour la plupart des gens, ce ne sera pas vraiment un problème.