Nie cofniesz już firmware w czipach Intela: tak zabezpieczono Management Engine

Strona główna Aktualności
image

O autorze

Intel to nie AMD i nie obdarzy nas przełącznikiem w ustawieniach UEFI, który pozwoliłby wyłączyć jego Management Engine. Wygląda jednak na to, że w zamian dostaniemy mechanizm, który nie tylko zabezpieczy Management Engine przez nieupoważnioną ingerencją, ale też praktycznie uniemożliwi pozbycie się tego niezbędnego do wygodnego zdalnego zarządzania komputerem cuda. W tym celu zastosowane zostanie rozwiązanie znane choćby z konsol do gier czy iPhone’a.

Po tym, jak badacze Mark Ermołow i Maksym Gorjaczij ujawnili w czerwcu Intelowi cały zbiór podatności w nowej generacji Management Engine, bazującej już na rdzeniu x86 i systemie Minix, niebiescy nie podnieśli alarmu – mimo że luki te w praktyce dawały napastnikowi nieograniczony dostęp do komputera ofiary. Dopiero w zeszłym miesiącu, tuż przed publiczną prezentacją tych podatności na konferencji Black Hat Europe udostępniono łatki, które jednak przecież muszą być dopiero zaadaptowane przez producentów sprzętu i wydane jako aktualizacje firmware komputera.

Z wydanymi w ten sposób łatkami jest jednak pewien problem. Otóż napastnik mający fizyczny dostęp do komputera może łatwo je usunąć – wystarczy, że wgra do komputera starszą wersję firmware, a Management Engine oraz Server Platform Services i Trusted Execution Engine znów staną się podatne na „zdalne sterowanie”. Sprawa idealna dla wszystkich poważnie zajmujących się np. szpiegostwem przemysłowym. Z drugiej jednak strony, to właśnie możliwość nadpisania firmware otworzyła drogę dla takich narzędzi jak ME_cleaner, pozwalających na bezpieczne zneutralizowanie Management Engine poprzez skasowanie funkcjonalnych modułów tego mechanizmu.

Intel chce zakończyć z możliwością swobodnego nadpisywania firmware. Na stronie ME_cleanera na GitHubie pojawił się poufny dokument Intela, opisujący zupełnie nowe zabezpieczenia. Management Engine w wersjach od 8 do 11 można przeprogramować za pomocą programatora flash, np. DediProg, jednak Od wersji 12 Management Engine, używanej z czipami Cofee Lake i Cannon Lake z tym już koniec. Nie będzie można już cofnąć Security Version Number (SVN) firmware– liczby zwiększanej o jeden przy każdej aktualizacji. Będzie ona zapisywana w pamięci Field Programmable Fuses (FPF), uniemożliwiając wgranie starszej wersji firmware.

Taka pamięć FPF, po ustawieniu, staje się bowiem pamięcią tylko do odczytu – cofnięcie aktualizacji przestaje być możliwe. Tak samo zmieniają się powiązane z numerem SVN klucze kryptograficzne, służące do zaszyfrowania zawartości firmware Management Engine, więc napastnik posiadający klucze do wersji wcześniejszej nie odczyta już tego, co w wersji nowej.

Intel wyjaśnia, że mechanizm blokowania cofania aktualizacji jest domyślnie wyłączony, jednak partnerzy Intela, tj. producenci pecetów, będą mogli go włączyć, korzystając z narzędzia Flash Image Tool. Co więcej, producent procesorów wręcz zachęca do korzystania z tej możliwości – a niewykluczone, że w przyszłości włączy ją domyślnie.

W tej sytuacji oficjalnie jedynym sposobem na wyłączenie Management Engine w czipach Intela dla użytkowników pozostanie ustawienie bitu HAP (High Assurance Platform), który wprowadzony został na żądanie amerykańskiej Agencji Bezpieczeństwa Narodowego. Jak pokazali rosyjscy badacze, gdy bit ten jest ustawiony, pod koniec procesu rozruchowego przerywana zostaje praca modułu BringUP, zajmującego się inicjalizacją Management Engine.

Dobrze, że Ryzen stał się realną alternatywą dla procesorów Core.

© dobreprogramy