图片:未飞溅该固定漏洞允许利用Intel Management Engine子系统中的危险错误,并且在使用Intel处理器的其他供应商的设备中可能仍然存在。
苹果发布了针对macOS High Sierra 10.13.4的更新,该更新解决了Positive Technologies专家Maxim Goryachy和Mark Ermolov发现的个人计算机固件(
CVE-2018-4251 )中的漏洞。 详细信息在
Apple技术支持网站上提供 。
这是Maxim Goryachy如何描述问题的方式:“该漏洞使具有管理员特权的攻击者可以未经授权访问固件的关键部分,在其中写入易受攻击的Intel ME版本,并通过其操作秘密地附加到设备上。 将来,他将能够完全控制计算机并从事间谍活动,而不会被发现。
关于制造模式
英特尔ME具有一种特殊的操作模式-所谓的制造模式,该模式专门供主板制造商使用。 此模式提供了攻击者可以使用的其他功能。 包括我们公司在内的研究人员(
如何成为您的PC的唯一所有者 )已经讨论了此模式的危害及其对Intel ME操作的影响,但是许多制造商仍未关闭此模式。
在制造模式下,Intel ME允许您执行特殊命令,此后,ME区域可通过主板上的内置SPI控制器写入。 攻击者具有在受到攻击的系统上运行代码并将命令发送到Intel ME的能力,攻击者可以覆盖Intel ME固件
,包括易受CVE-2017-5705,CVE-2017-5706和CVE-2017-5707影响的版本 ,从而即使在已安装补丁的系统上,也可以在Intel ME上执行任意代码。
事实证明,在MacBook上此模式也已打开。 尽管固件本身提供了针对重写SPI Flash区域的攻击的额外保护(如果打开了对区域的访问,则固件不允许加载操作系统),但研究人员发现了一个未记录的命令,该命令可以在不重新引导主系统的情况下重新引导Intel ME,这使它成为可能。规避这种保护。 值得注意的是,不仅可以在Apple计算机上进行类似的攻击。
Positive Technologies开发了一种特殊的实用程序,可让您检查制造模式的状态。 您可以从此
链接下载它。 如果检查结果表明该模式已打开,则建议您与计算机制造商联系以获取有关关闭它的说明。 该实用程序是为Windows和Linux设计的,因为Apple计算机的用户只需安装上述更新即可。
关于英特尔管理引擎
英特尔管理引擎是集成到平台控制器中枢(PCH)芯片中的微控制器,具有一组集成的外围设备。 通过PCH,几乎可以执行处理器与外部设备之间的所有通信,因此Intel ME可以访问计算机上几乎所有的数据。 研究人员设法找到了一个
错误 ,该
错误使未签名的代码可以在Skylake系列及更高版本的处理器的任何主板上的PCH内执行。
关于问题的规模
脆弱的英特尔芯片组在全球范围内使用,从家用和办公笔记本电脑到企业服务器。 英特尔先前发布的
更新并未排除利用漏洞CVE-2017-5705,CVE-2017-5706和CVE-2017-5707的可能性,因为如果攻击者拥有对ME区域的写权限,则他始终可以记录ME的漏洞版本并利用该漏洞。在她里面。