Apple未在其笔记本电脑中禁用英特尔制造模式(CVE-2018-4251)

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

Apple未在其笔记本电脑中禁用英特尔制造模式(CVE-2018-4251)

在分析英特尔管理引擎(ME)时,Positive Technologies发现Apple并没有在其笔记本电脑中禁用英特尔制造模式
安全公司Positive Technologies的专家在分析 英特尔管理引擎(ME)时发现苹果忘记了它并未将其锁定在笔记本电脑中。

英特尔管理引擎由一个与平台控制器集线器芯片配合使用的微控制器,与集成外设相结合,是处理处理器和外设之间交换数据的关键组件。

出于这个原因,安全专家过去警告过英特尔管理引擎漏洞的风险。攻击者可以利用Intel ME中的漏洞在受影响的系统上建立后门并获得对其的完全控制。

去年,Positive Technologies的同一组专家 发现 了一个禁用英特尔管理引擎的无证配置设置。

该团队还针对英特尔管理引擎JTAG中的漏洞发布了概念验证漏洞利用代码。

去年,电子前沿基金会的专家 要求英特尔 提供一种禁用IME的方法。

2017年8月,Positive Technologies(Dmitry Sklyarov,Mark Ermolov和Maxim Goryachy)的专家发现了一种通过无证模式禁用英特尔管理引擎11的方法。

研究人员发现,通过在配置文件中将未记录的高保证平台(HAP)位设置为1,可以关闭Intel ME。

专家们发现安全框架是由美国国家安全局开发的......是的NSA!

本周,研究人员Maxim Goryachy和Mark Ermolov发表了 一篇博客文章 ,其中披露了Chipzilla的ME包含一个未记录的制造模式。

英特尔ME制造模式被销售和运输给用户之前在制造过程中用于配置和端平台的检测,并且因此应该被禁用(关闭),规定了安全二重唱。

但是,这种模式及其潜在风险在英特尔的公共文档中没有任何描述。

访问英特尔制造模式的唯一方法是使用英特尔ME系统工具软件中包含的实用程序,无论如何公众无法使用该实用程序。该软件允许在一次性可编程存储器(称为现场编程保险丝(FPF))中配置平台设置,该操作通常在发货之前进行,并在ME的内部MFS(Minux文件系统)上配置SPI(串行外设接口)闪存,通过称为CVAR(可配置NVAR,命名变量)的参数。

在旧系统上,在Apollo Lake之前,英特尔维护了英特尔管理引擎,千兆以太网和CPU独立的访问权限。

在较新的系统中,SPI控制器实现主授权功能,该功能可以覆盖SPI描述符中声明的访问权限。

这意味着即使SPI描述符禁止主机访问ME的SPI区域,ME仍然可以提供访问,研究人员解释说。

专家指出,设备制造商无法禁用制造模式打开本地攻击者进行网络攻击的大门。

具有讽刺意味的是英特尔的主要客户Apple之一启用了制造模式,该问题被追踪为CVE-2018-4251。

Apple 在6月解决了这个问题,并通过发布macOS High Sierra 10.13.5更新来解决这个问题。

安全专家在GitHub上发布了一个 Python代码 ,允许英特尔检查是否启用了制造模式。

我们的研究表明,英特尔ME存在制造模式问题,即使像Apple这样的巨型制造商也无法免受英特尔平台上的配置错误的影响。更糟糕的是,没有关于这个主题的公开信息,让最终用户不知道可能导致数据被盗,持续不可移动的rootkit,甚至是硬化硬件的弱点。专家们总结道。
我们还怀疑,由于BIOS / UEFI和ME的状态不同步,在不重置主CPU的情况下重置ME的能力可能会导致额外的安全问题。

CE安全网

发表评论

您必须登录才能发表评论!