r   e   k   l   a   m   a
r   e   k   l   a   m   a

Intel Management Engine znów straszy: czipsety niewykrywalnie zainfekowane?

Strona główna AktualnościBEZPIECZEŃSTWO

Podczas tegorocznej konferencji Black Hat Europe, która odbędzie się na początku grudnia, zaprezentowany ma zostać spektakularny atak na Intel Management Engine (ME), pierwszy tego rodzaju, a zarazem stawiający pod dużym znakiem zapytania zasadność korzystania z tego typu technologii. Odkrywcy, badacze z moskiewskiej firmy Positive Technology, już wcześniej wykazali się głęboką wiedzą na temat działania technologii Intela, pokazując, jak można ją zneutralizować w swoim komputerze i korzystać z niego dalej. Teraz mają zademonstrować, jak uczynić z Management Engine nośnik nieusuwalnego malware.

W ostatnim roku obserwujemy ogromny wzrost zainteresowania opracowaną przez Intela technologią zdalnego zarządzania, i to zainteresowania z tej niepokojącej strony. Wbudowany w układ Platform Controler Hub (PCH) mikrokontroler z własną pamięcią, i własnym systemem operacyjnym ma dostęp do praktycznie wszystkich danych na komputerze, może sterować jego komponentami, zapewnia zdalny dostęp przez sieć. Od lat podejrzewano, że Management Engine może stanowić poważne zagrożenie – i faktycznie, w końcu taką lukę znaleziono – dawała dostęp do usług Intel Active Management Technology w komputerzach obsługujących technologie vPro.

To, że udało się lukę namierzyć, było dużym osiągnięciem Maksymiliana Maliutina z holenderskiej firmy Embedi. Management Engine było bowiem bardzo osobliwą technologią, o której praktycznie nic nie było wiadomo, poza tym, że działał pod kontrolą systemu czasu rzeczywistego ThreadX, uruchomionego na egzotycznym procesorze z rdzeniem ARC, zbliżonym architekturą do procesora konsoli SuperNintendo. W ostatnich latach Intel zdecydował się jednak porzucić egzotykę i wprowadził nową wersję ME 11, wykorzystującą The Minute IA, procesor na rdzeniu x86 oraz system operacyjny MINIX (a do tego oferującą sporo nowych możliwości).

r   e   k   l   a   m   a

Nowa wersja ME okazała się znacznie łatwiejsza do analizy. To dzięki temu Dmitrij Skliarow, Mark Ermołow i Maksym Gorjaczij, badacze z firmy Positive Technologies, mogli pokazać w sierpniu jak zneutralizować Management Engine, przy okazji odkrywając specjalny tryb działania ME – High Assurance Platform – prawdopodobnie wbudowany w procesory Intela na zlecenie amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA).

Jak zneutralizować Intel Management Engine?

Bardziej zaawansowani technicznie użytkownicy mogą zneutralizować Intel Management Engine, kasując wszystkie funkcjonalne moduły firmware i pozostawiając jedynie niezbędny program uruchomieniowy i rdzeń systemu. Takie „wyrwanie zębów” możliwe jest za pomocą narzędzia ME_cleaner. Działa on na praktycznie wszystkich platformach Intel Core, od Nehalem po Kaby Lake, ale warto wcześniej sprawdzić stan wsparcia.

Uwaga: choć ME_cleaner wydaje się działać bez zarzutu (testowaliśmy!), to całą operację robicie na własną odpowiedzialność, to niskopoziomowa ingerencja w sprzęt, która może oznaczać utratę na niego gwarancji.

Wyposażeni w cały zestaw nowoczesnych narzędzi do analizy kodu i wyszukiwania luk, badacze znaleźli coś więcej. Okazuje się, że podczas przenoszenia Management Engine na nową architekturę, Intel popełnił bardzo poważny błąd. Szczegółów póki co nie znamy, ale z zapowiedzi przedstawionej przez Ermołowa i Gorjaczija wynika, że odkryto lukę pozwalającą napastnikom na obejście zabezpieczeń i uruchomienie niepodpisanego kodu na Platform Controller Hubie na każdej płycie głównej dla procesorów Skylake i późniejszych.

Co najgorsze, taka infekcja jest kompletnie niewidzialna dla systemu operacyjnego komputera, nie można jej powstrzymać żadnym programem antywirusowym (one po prostu nie działają tak nisko), nic nie pomoże reinstalacja systemu ani aktualizacja BIOS-u. Właściwie jedyne co można chyba zrobić, to sięgnąć po narzędzia do wyłączenia Management Engine, a jeśli to jest niemożliwe, to wyrzucić zainfekowaną płytę główną do śmieci. Co najlepsze, luka znacznie powiększy wiedzę badaczy o działania systemów, pozwala bowiem na ich pełne analizowanie w czasie rzeczywistym.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.