Комментарии 23
Этот IME напоминает бекдор: код, выполняющийся в нем, закрытый, а отключить его нельзя.
НЛО прилетело и опубликовало эту надпись здесь
Секрет, кто ж про такое скажет. Да еще и NDA скорей всего подписали, для Open Source community ничего полезного.
Ну вот, Вы опять отправляете меня на три буквы NDA.) Боюсь разочаровать всех в очередной раз, но у apple нет программы вознаграждения за уязвимости в x86 платформах, поэтому денег не дали и NDA даже не просили подписывать. ;(
НЛО прилетело и опубликовало эту надпись здесь
Помниться на BlackHat EU 2017 был к вам вопрос, выложите ли Вы ME boot-rom (тот который mask-ROM, OTP(One-Time-Programmable) внутри чипсета), ответ был, что выложите, а воз и ныне там.
Да тут каюсь, мне потом наши юристы сказали, что с распространением чужих блоков не все так просто. Мы рассказывали про основные отличия от bypass’а, который можно найти в сети, совсем недавно (https://github.com/ptresearch/IntelME-Crypto/blob/master/Intel%20ME%20Security%20keys%20Genealogy%2C%20Obfuscation%20and%20other%20Magic.pdf)
Скажу спасибо h0t_max и здесь тоже, я потратил на исправление этой уязвимости примерно месяц, потому что нужно не только выключить manufacturing mode, но и сделать так, чтобы он не мог случайно или специально включиться обратно.
Можно поподробнее про включение обратно? Мне казалось, что он преднамеренно сделан необратимо отключаемым. Вероятно, что-то можно сделать на очень раннем этапе загрузки, но в этом случае левый код будет отвергнут BootGuard, по идее.
Достаточно сбросить содержимое ME data region (еще точнее, ME FS) и manufacturing mode включится обратно. Есть сведения про то, что МЕ может самостоятельно выключить MM при определенных настройках дескриптора, но т.к. мы не используем рекомендованные Интел настройки (там закрыт доступ к региону МЕ на чтение, а это не позволяет инспектировать его, что недопустимо), то к нашим машинам это неприменимо. BootGuard мы также не используем по разным причинам, на современных системах начиная с iMac Pro вместо него используется собственные технологии защиты прошивки от модификации.
Есть мнение, что mmode — это фюз, но на самом деле признаком выключениям этого режимы является файл eom на ФС МЕ, если его нет то прошивка считает, что она в manufacturing modе.
Простите, я кажется туплю, но:
Серьезно? Мне кажется илизлоумышленникпользователь с правами админа — это уже смертный грех. Так при чём тут ME? (я не оправдываю технологию, я в ключе данной статьи, для эксплуатации надо иметь права админа).
Уязвимость позволяет злоумышленнику с правами администратора получить несанкционированный доступ...
Серьезно? Мне кажется или
Успешная эксплуатация позволяет получить гораздо большие права, чем права администратора в ОС: она позволяет перехватить контроль над МЕ и получить управление еще до старта основного процессора.
Запись в регион МЕ заблокирована на аппаратном уровне(фактически даже ядро и smm не могут в него писать), но manufacturing mode позволяет обойти блокировку.
Я правильно понял, что «уязвимость» состоит в не выключенном производителем режиме Manufacturing Mode, а фикс — в его выключении? Я бы назвал такое не уязвимостью, а неправильной конфигурацией (misconfiguration).
Для прошивок неверная конфигурация BIOS — это очень распространенная проблема. Это принято считать уязвимостью так как зачастую через такие ошибки злоумышленники может проникнуть или закрепиться на системе. Вот недавний похожий пример: https://blog.eclypsium.com/2018/06/07/firmware-vulnerabilities-in-supermicro-systems/.
Это и есть мисконф, но уязвимостью он быть не перестает, т.к. позволяет повысить привилегии при помощи ряда шагов, которые по отдельности вроде бы вполне безобидные, а вместе — уже совсем нет.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В компьютерах Apple закрыта уязвимость прошивки, найденная экспертами Positive Technologies