Серия критических уязвимостей в Intel Management Engine

Компания Intel объявила об устранении серии уязвимостей в различных версиях прошивок для подсистемы Intel ME (Management Engine) и связанных с ней компонентах Intel Trusted Execution Engine и Server Platform Service.

Всего раскрыты данные о 10 новых уязвимостях, которые были выявлены в процессе проведения аудита безопасности Intel ME. Проблемы проявляются на системах с 6, 7 и 8 поколением процессоров Intel Core, а также в серверных системах на базе Intel Xeon E3-1200 v5 и v6, Xeon W, Xeon Scalable, Intel Atom C3000, Atom E3900, Intel Pentium Apollo Lake и Celeron серии N и J. Всем пользователям рекомендовано установить обновление прошивки. Для проверки наличия уязвимостей для Linux и Windows подготовлена специальная утилита.

Часть уязвимостей специфична для интерфейса удалённого управления оборудованием Active Management Technology (AMT), который используется на серверных системах и некоторых бизнес-моделях ноутбуков. Уязвимости позволяют выполнить произвольный код в контексте окружения AMT при наличии удалённого доступа к интерфейсу. Атакующий должен знать параметры аутентификации для подключения к AMT, но также может атаковать системы с неисправленной уязвимостью, позволяющей подключиться с пустым паролем. Сам по себе доступ к AMT уже предоставляет достаточный набор средств для совершения атаки на операционную систему, например, можно отключить UEFI Secure Boot для загрузки неверифицированных компонентов, но возможность выполнения кода также потенциально позволяет отключить индикатор режима мониторинга и организовать скрытое наблюдение за содержимым экрана (при штатном режиме мониторинга на экран выводится рамка, уведомляющая пользователя о наблюдении).

Другая часть уязвимостей позволяет выполнить код в контексте ядра прошивки Intel ME, имея локальный доступ к основной системе. Уязвимости могут применяться для запуска вредоносного кода вне области видимости основной ОС и компрометации механизма Intel PTT (Platform Trust Technology), позволяющего выполнять модули TPM (Trusted Platform Module) с защищёнными обработчиками, например, используемыми для выполнения операций шифрования и хранения ключей в отдельном от операционной системы окружении. Уязвимости в Intel ME позволяют получить доступ к этому окружению и хранящимся там EK-ключам (Endorsement Key), используемым для идентификации модулей в TPM.

Уязвимости также потенциально могут использоваться для обхода средств для загрузки в Intel ME только прошивок, заверенных цифровой подписью. Так как уязвимость эксплуатируется при обработке не подписанных данных, атакующий может изменить эти данные в Intel ME и добиться эксплуатации уязвимости при каждой загрузке, после чего отключать Boot Guard и загружать любой код, полностью контролируя состав прошивки. Так как после загрузки окружение становится подконтрольным злоумышленнику и невозможно доверять информации из Intel ME в уже загруженной системе, единственным вариантом восстановления остаётся ручная перепрошивка Flash через SPI (для большинства компаний дешевле будет купить новое оборудование).

Intel ME поставляется в большинстве современных материнских плат Intel и реализован в виде отдельного микропроцессора, работающего независимо от CPU и выполняющего задачи, которые необходимо отделить от операционной системы, такие как обработка защищённого контента (DRM), реализация модулей TPM (Trusted Platform Module) и низкоуровневые интерфейсы для мониторинга и управления оборудованием. Начиная с Intel ME 11 в прошивке используется отдельная операционная система, основанная на коде ОС MINIX, которая работает параллельно с основной ОС без привлечения центрального процессора. Компрометация Intel ME позволяет получить полный доступ ко всему системному окружению, при том, что вредоносная активность будет незаметна из основной ОС.

Дополнительно можно отметить планы Intel полностью прекратить поддержку BIOS к 2020 году, оставив только возможность использования UEFI. Обязательным станет использование спецификации UEFI Class 3, которая не предусматривает наличие интерфейса для Legacy BIOS.

Источник: opennet.ru




(Visited 71 times, 1 visits today)

Добавить комментарий

Войти с помощью: