Image: UnsplashLa vulnérabilité corrigée permettait d'exploiter une erreur dangereuse dans le sous-système Intel Management Engine et peut toujours être présente dans les appareils d'autres fournisseurs utilisant des processeurs Intel.
Apple a publié une mise à jour pour macOS High Sierra 10.13.4 qui corrige une vulnérabilité dans le microprogramme d'un ordinateur personnel (
CVE-2018-4251 ) découverte par les experts de Positive Technologies Maxim Goryachy et Mark Ermolov. Les détails sont fournis sur le
site Web du support technique Apple .
Voici comment Maxim Goryachy décrit le problème: «La vulnérabilité permet à un attaquant disposant de privilèges d'administrateur d'accéder de manière non autorisée aux parties critiques du micrologiciel, d'y écrire une version vulnérable d'Intel ME et, par son fonctionnement, de se connecter secrètement à l'appareil. À l'avenir, il pourra prendre le contrôle total de l'ordinateur et mener des activités d'espionnage, sans la moindre probabilité d'être détecté. »
À propos du mode de fabrication
Intel ME a un mode de fonctionnement spécial - le soi-disant mode de fabrication, qui est destiné à être utilisé exclusivement par les fabricants de cartes mères. Ce mode offre des capacités supplémentaires qu'un attaquant peut utiliser. Des chercheurs, dont notre société (
Comment devenir le propriétaire unique de votre PC ), ont déjà parlé des dangers de ce mode et de ses effets sur le fonctionnement d'Intel ME, mais de nombreux fabricants ne désactivent toujours pas ce mode.
En mode de fabrication, Intel ME vous permet d'exécuter une commande spéciale, après quoi la région ME devient accessible en écriture via le contrôleur SPI intégré de la carte mère. Ayant la possibilité d'exécuter du code sur le système attaqué et d'envoyer des commandes à Intel ME, un attaquant peut écraser le firmware Intel ME
, y compris la version vulnérable à CVE-2017-5705, CVE-2017-5706 et CVE-2017-5707 , et ainsi exécuter du code arbitraire sur Intel ME même sur les systèmes sur lesquels le patch est installé.
Il s'est avéré que sur MacBook, ce mode est également activé. Bien que le firmware lui-même offre une protection supplémentaire contre une attaque contre la réécriture des régions Flash SPI (si l'accès à une région est ouvert, le firmware ne permet pas de charger le système d'exploitation), les chercheurs ont trouvé une commande non documentée qui redémarre Intel ME sans redémarrer le système principal, ce qui a rendu possible contournement de cette protection. Il convient de noter qu'une attaque similaire peut être effectuée non seulement sur les ordinateurs Apple.
Positive Technologies a développé un utilitaire spécial qui vous permet de vérifier l'état du mode de fabrication. Vous pouvez le télécharger à partir de ce
lien . Si le résultat de la vérification indique que le mode est activé, nous vous recommandons de contacter le fabricant de votre ordinateur pour obtenir des instructions sur sa désactivation. L'utilitaire est conçu pour Windows et Linux, car les utilisateurs d'ordinateurs Apple installent simplement la mise à jour ci-dessus.
À propos d'Intel Management Engine
Intel Management Engine est un microcontrôleur intégré à la puce Platform Controller Hub (PCH) avec un ensemble de périphériques intégrés. Grâce à PCH, presque toutes les communications entre le processeur et les périphériques externes sont effectuées, Intel ME a donc accès à presque toutes les données de l'ordinateur. Les chercheurs ont réussi à trouver une
erreur qui permet d'exécuter du code non signé à l'intérieur de PCH sur n'importe quelle carte mère pour les processeurs de la famille Skylake et plus.
À propos de l'ampleur du problème
Les chipsets Intel vulnérables sont utilisés dans le monde entier, des ordinateurs portables domestiques et professionnels aux serveurs d'entreprise. Une
mise à jour précédemment publiée par Intel n'excluait pas la possibilité d'exploiter les vulnérabilités CVE-2017-5705, CVE-2017-5706 et CVE-2017-5707, car si un attaquant a un accès en écriture à la région ME, il peut toujours enregistrer la version vulnérable de ME et exploiter la vulnérabilité en elle.