인텔 관리 엔진-macOS는 취약합니까?

23

예를 들어 유선보고를 기반으로하는 것은 이것이 나쁜 나쁜 소식입니다. 인텔 ® 관리 엔진 중요 펌웨어 업데이트 (Intel SA-00086)-www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Apple 하드웨어 / macOS는 취약합니까?

— 매튜 엘비
소스

3

더 혼란을 피하기 위해 : 5 월 INTEL-SA-00075 와 같은 IME 관련 버그가 있었는데 애플 제품에는 영향을 미치지 않는 것으로 보입니다. 이 질문에 나타난 일부 응답은 이전 취약점에 대한 정보를 실수로 참조했습니다. 그러나이 질문은 최근보고 된 취약점 INTEL-SA-00086에 대해 묻고 있습니다.

— Nat

10

첫째 : macOS 자체는 처음에는 취약하지만 펌웨어 및 관련 하드웨어는 영향을받습니다. 두 번째 단계에서는 시스템이 공격받을 수 있습니다.

Mac 에는 영향을받는 일부 프로세서 만 설치됩니다.

6 세대 및 7 세대 인텔 ® 코어 ™ 프로세서 제품군

MEAnalyzer 도구를 사용하여 임의의 펌웨어 파일 을 확인하고 Intel Management Engine 코드가 포함 된 파일 을 발견했습니다.

MacBook Pro Retina Mid 2017입니다.

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

제품군 의 ME 항목 은 관리 엔진 코드를 나타냅니다.

에서 EFIFirmware2015Update.pkg 5708 | | 5711 | 5712 2 21 펌웨어 파일은 CVE-2017-5705의 영향을받을 수 있습니다 인텔 관리 엔진 코드가 포함되어 있습니다.

에서 맥 OS 10.13.1 update.pkg 5708 | | 5711 | 5712 (21) 펌웨어 (46)의 파일 CVE-2017-5705에 의해 영향을받을 수 인텔 관리 엔진 코드가 포함되어 있습니다.

하나의 소스 와 그 안의 링크 된 소스는 "Intel ME는 모든 CPU에서 구워 지지만 The Register ( 0 )에 따르면 AMT 부분은 Apple 하드웨어에서 실행되고 있지 않습니다." AMT는 또한 오래된 취약점과 관련이 있으며 등록 링크는이를 참조합니다. 그러면 AMT가 Mac에 없기 때문에 CVE-2017-5711 | 5712의 펌웨어에 영향을받지 않을 수 있습니다.

그러나 최근의 취약점 중 일부에는 AMT가 필요하지 않습니다.

제 생각에 맥이 인텔 Q3'17 ME 11.x 취약점의 영향을 받는지 확실하지 않습니다. 아마도 애플 만이 알 수 있습니다. 최소한 Mac은 SPS 4.0 및 TXE 3.0 버그의 영향을받지 않습니다!

— 클라 노 매스
소스

@Nat 당신 말이 맞아요 : 분명히 상반신을 놓쳤습니다 ...

— klanomath

@vykor의 답변과 해당 링크를 읽으십시오.

— Gilby

2

@Gilby 내 게시물에서 언급했듯이이 취약점 중 두 가지는 AMT에 의존 하지 않습니다 : CVE-2017-5705 | 5708!

— klanomath

6

인텔 탐지 도구가 Q32017 MacBook Pro Intel 탐지 도구의 부트 캠프에서 실행되는 경우의 스크린 샷 : https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

나쁜 소식들

— 페이스 트레이서
소스

이 최신 답변은 다소 매력적입니다. 답변이 그렇다는 비교적 간단하고 직접적인 증거입니다.

— Matthew Elvey

나는 2015 Macbook Pro에서 친절한 정신이 이것을하기를 정말로 바랍니다.

— Nostalg.io

4

현지 Apple Store의 정보를 통해 Intel Mac에 실제로 Intel ME 하드웨어가 포함되어 있으며 Apple이 Intel 하드웨어를 수정하지 않았 음을 확인할 수 있습니다. 이 시점에서 Mac이 Intel 펌웨어를 실행하는지 ME에 대해 그렇지 않은지 확인하거나 거부 할 수는 없지만이 질문에 대한 다른 대답은 Intel 펌웨어를 실행한다고 제안하는 것 같습니다.

필자는 애플 머신이 모두 취약하며이 포스트 시점에 이미 다운로드 할 수있는 패치가있는 다른 머신보다 훨씬 극적인 영향을받는다고 말합니다. 그 이유는 많은 Mac에 최신 버전의 Intel 펌웨어가있는 것 같습니다. 다른 사람이 펌웨어 버전을 확인하는 데 사용하는 Python 스크립트가 잘못되었거나 ME 하드웨어에 대한 사용자 정의 Apple 작성 펌웨어를 암시하는 경우 기계에 존재합니다. Klanomath, 귀하의 컴퓨터는 9.5.3 버전의 ME 펌웨어로 상당히 조여진 것 같습니다. 다음과 같이 인텔 감사에 따라 다른 시스템의 11.6.5 펌웨어도 명백하게 취약합니다.

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

11.8.0 이상으로 업데이트해야합니다. 특히,이 핵은 시스템에 대한 로컬 액세스 권한을 가진 공격자가 임의의 코드 를 실행 하도록 허용하기 때문에 문제가 됩니다. 다중 권한 에스컬레이션 ... 권한이없는 프로세스가 지정되지 않은 벡터를 통해 권한있는 콘텐츠에 액세스 할 수 있도록 합니다. ... "시스템에 대한 로컬 액세스 권한이있는 공격자가 AMT 실행 권한으로 임의의 코드 를 실행할 수 있도록 합니다. ... 시스템에 대한 원격 관리자 액세스 권한이있는 공격자 가 AMT 실행 권한으로 임의의 코드를 실행할 수 있습니다. "

"임의의 코드, 권한 에스컬레이션, 시스템에 대한 원격 액세스 및 임의의 코드 실행." 이건 미친 짓이야! 특히 Intel ME는 시스템 전원이 꺼져 있어도 원격 액세스를 허용하지만 AMT 소프트웨어에서만 가능하지만 Apple에는없는 것 같습니다.

— 로버트 윌슨
소스

jksoegaard의 답변에 대한 의견에서 언급 된 펌웨어 (IM144_0179_B12_LOCKED.scap)는 내 컴퓨터의 펌웨어가 아니라 iMac "Core i5"1.4 21.5- 인치 (Mid-2014) 중 하나입니다. Mac EFI 보안 업데이트 2015-002 에서 추출한 ;-; ). iMac의 펌웨어가 더 오래된 것 같습니다.

— klanomath

0

INTEL-SA-00086에서 발췌 : "공격자는 플랫폼의 플래시 메모리에 물리적으로 연결된 플래시 프로그래머를 통해 악성 펌웨어 이미지로 플랫폼을 수동으로 업데이트하여 물리적 액세스 권한을 얻습니다."

Apple 제품이 사악한 사람들이 장비에 물리적으로 접근 할 수있는 공공 실험실에서 운영되지 않는 한 걱정할 필요가 없습니다. 보안 권고에 대해서는 언급하지 않았지만 PC / Windows 포럼의 다른 곳에서 USB 포트 (플래시 드라이브)를 통해 Flash Descriptor 펌웨어에 대한 공격이 발생한다고 읽었습니다. 플래시 드라이브에서 제한된 Linux 커널을 사용하여 Apple 컴퓨터를 가로채는 USB 플래시 기술이 이미 있습니다. 대부분의 사람들에게 이것은 큰 문제가되지 않습니다.

— 크레이그
소스

2

이것이 사실이지만 원격으로 작동 할 수있는 다른 ME가 있습니다. macOS 의 펌웨어 업데이트는 OS 수준에서 모두 초기화되므로 물리적 액세스가 필요하지 않습니다 . 악의적 인 업데이트가 주입 될 수 있다면 (현재 가능한 AFAIK는 아니지만 향후 일부 문제가이 라인을 따른다는 타당성 임) – Mac이 취약한 ME 버전을 사용한다면 이것은 매우 문제가 될 것입니다.

— JMY1000