Czipsety płyt głównych Intel-a od skylike z poważną dziurą

Intel przyznaje się do dziur w Management Engine

Google dobrze wiedziało co robi, usuwając ze swoich serwerów Intel Management Engine oraz firmware UEFI, by zastąpić je minimalistycznym Linuksem. Intel właśnie przyznał się do katastrofalnych wręcz w swej naturze błędów w oprogramowaniu działającym poniżej warstwy systemu operacyjnego, które otwierają drogę do instalowania niewykrywalnych rootkitów. Narażeni są użytkownicy sprzętu z najnowszą wersją Management Engine, tj. procesorów Core 6. generacji i nowszych, a także układów Xeon, Celeron, Pentium i Atom.

To odkrycie przypadło ludziom ze znanej już z badań w tej tematyce firmy Positve Technologies. Już we wrześniu informowali oni, że są w stanie uruchomić niepodpisany kod w Platform Controler Hubie na dowolnej płycie głównej poczynając od mikroarchitektury Skylake – i obiecali, że pokażą jak to działa podczas najbliższej konferencji Black Hat Europe, która rozpocznie się 4 grudnia w Londynie.

Dopiero teraz Intel zajął głos w tej sprawie – i przyznaje, że odkrywcy zagrożenia, Dmitrij Skliarow, Mark Ermołow i Maksym Gorjaczij, mają rację. Intel Management Engine (ME), Server Platform Services (SPS) oraz Trusted  Execution Engine  są pełne luk, które pozwalają każdemu posiadającemu uprawnienia administracyjne na uruchomienie niewykrywalnego dla użytkownika kodu poniżej systemu operacyjnego. Takie rootkity są w praktyce niemożliwe do wykrycia, czy to za pomocą narzędzi antywirusowych, czy nawet specjalizowanych narzędzi.

Po zainstalowaniu takiego złośliwego oprogramowania na Platform Controller Hubie, może ono pozyskiwać dowolne informacje z pamięci komputera, bez względu na zabezpieczenia systemu operacyjnego. W ten sposób może wydobyć nawet hasła i klucze kryptograficzne, by przeprowadzić dalsze ataki.

Lista zagrożonych czipsetów jest spora, jak wspomnieliśmy obejmuje płyty główne dla praktycznie wszystkich współcześnie produkowanych czipów Intela. Są to:

  • procesory Intel Core 6., 7. i 8. generacji
  • procesory Intel Xeon E3-1200 v5 i v6
  • procesory Intel Xeon Scalable
  • procesory Intel Xeon W
  • procesory Intel Atom C3000
  • procesory Intel Atom E3900 (Apollo Lake)
  • procesory Intel Pentium (Apollo Lake)
  • procesory Celeron z serii N i J.

Wszystkie płyty główne tych procesorów zawierają praktycznie nieudokumentowaną czarną skrzynkę, działającą na bazie 32-bitowego rdzenia x86 Quark oraz systemu operacyjnego MINIX. To właśnie w niej zaimplementowana jest Intel Management Engine, pozwalająca na zdalne zarządzanie komputerami, Server Platform Services, służące do zdalnego zarządzania serwerami w centrach danych, oraz Trusted Execution Engine, sprzętowy system uwierzytelniania dla kodu.

Znany ekspert Matthew Garret zwrócił uwagę na jeszcze jedną kwestię – te luki pozwalają także zdalnym użytkownikom na przeprowadzenie ataku. Wystarczy wykorzystać wcześniej wykrytą lukę w Active Management Technology (AMT), która pozwalała na uwierzytelnienie się za pomocą pustego tokena. Jeśli do tej pory nie załataliście firmware w swoich komputerach wykorzystujących AMT (dotyczy to przede wszystkim sprzętu korporacyjnego), najwyższy czas to zrobić.

A jak zabezpieczyć się przed lukami w IME i innych technologiach Intela oficjalną drogą, bez niszczenia Management Engine za pomocą narzędzia ME_cleaner? Intel zaleca użytkownikom Windowsa i Linuksa pobranie narzędzia Intel-SA-00086, które sprawdzi, czy są oni zagrożeni. Później… no cóż, pozostaje czekać na łatki producentów. Pierwsze jest tu Lenovo, które wydało łatki do zainstalowania z poziomu Windows 10, 8.1 oraz 7. Działających pod Linuksem łatek brak.

 

źródło: dobreprogramy.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *