Positive Technologies的兩名安全研究人員Maxim Goryachy和Mark Ermolov發現,macOS Sierra和El Capitan存在編號為CVE-2018-4251的漏洞,這是製造商錯誤將英特爾晶片設置為製造模式造成的。這個漏洞已經在蘋果六月釋出的更新中修復。

當Maxim Goryachy和Mark Ermolov在尋找英特爾管理引擎(Intel Management Engine,Intel ME)的臭蟲時,意外發現了製造模式(Manufacturing Mode),這個被不當啟動可能導致問題的功能。製造模式是英特爾管理引擎的一個功能,可以允許個人電腦、伺服器或是行動裝置的OEM廠商啟用,對英特爾晶片測試遠端管理功能。

英特爾管理引擎製造模式只能用於裝置製造期間設置和終端平臺測試,因此應該在銷售給使用者之前先關閉,不過這種模式及其潛在的風險,在英特爾的公開文件中都沒有描述,而且因為官方沒有釋出相關的工具,所以一般用戶也無法禁用此模式。當這個模式因某種原因被啟用時,沒有任何軟體可以保護或是通知用戶。這個模式允許配置一次性可程式化記憶體(FUSEs)的關鍵平臺設定。

Maxim Goryachy和Mark Ermolov表示,當使用者電腦的英特爾晶片的製造模式被開啟,駭客可以隨時變更英特爾管理引擎,並禁用安全功能以及啟用其他攻擊向量。駭客能利用CVE-2018-4251,接著使用像是INTEL-SA-00086這樣的漏洞,可以對舊版本的英特爾管理引擎,在不需要SPI程式設計器或是存取HDA_SDO橋接的情況下,執行記憶體寫入,而這代表攻擊者不需要實體操作電腦就能進行攻擊。

駭客在重新刷新英特爾管理引擎映像檔後,接著重置就能執行修改後的韌體,不過,這幾乎在所有的平臺都不會發生作用,除了Apple MacBook,雖然Apple在UEFI中有額外的檢查,當UEFI啟動時,管理引擎區域被發現動過手腳,就會阻止系統啟動,但是這個機制在製造模式開啟時,可以被輕鬆的繞過。

Apple於六月的時候,在macOS High Sierra 10.13.5修正了這個問題,並對macOS Sierra和El Capitan發布安全更新2018-003進行修補。

熱門新聞

Advertisement