Intel Management Engine znów straszy: czipsety niewykrywalnie zainfekowane?

Intel Management Engine znów straszy: czipsety niewykrywalnie zainfekowane?21.09.2017 20:11

Podczas tegorocznej konferencji Black Hat Europe, która odbędziesię na początku grudnia, zaprezentowany ma zostać spektakularnyatak na Intel Management Engine (ME), pierwszy tego rodzaju, azarazem stawiający pod dużym znakiem zapytania zasadnośćkorzystania z tego typu technologii. Odkrywcy, badacze z moskiewskiejfirmy Positive Technology, już wcześniej wykazali się głębokąwiedzą na temat działania technologii Intela, pokazując, jak możnają zneutralizować w swoim komputerze i korzystać z niego dalej.Teraz mają zademonstrować,jak uczynić z Management Engine nośnik nieusuwalnego malware.

W ostatnim roku obserwujemy ogromny wzrost zainteresowaniaopracowaną przez Intela technologią zdalnego zarządzania, i tozainteresowania z tej niepokojącej strony. Wbudowany w układPlatform Controler Hub (PCH) mikrokontroler z własną pamięcią, iwłasnym systemem operacyjnym ma dostęp do praktycznie wszystkichdanych na komputerze, może sterować jego komponentami, zapewniazdalny dostęp przez sieć. Od lat podejrzewano, że ManagementEngine może stanowić poważne zagrożenie – i faktycznie, w końcutaką lukę znaleziono– dawała dostęp do usług Intel Active Management Technology wkomputerzach obsługujących technologie vPro.

To, że udało się lukę namierzyć, było dużym osiągnięciemMaksymiliana Maliutina z holenderskiej firmy Embedi. ManagementEngine było bowiem bardzo osobliwą technologią, o którejpraktycznie nic nie było wiadomo, poza tym, że działał podkontrolą systemu czasu rzeczywistego ThreadX, uruchomionego naegzotycznym procesorze z rdzeniem ARC, zbliżonym architekturą doprocesora konsoli SuperNintendo. W ostatnich latach Intel zdecydowałsię jednak porzucić egzotykę i wprowadził nową wersję ME 11,wykorzystującą The Minute IA, procesor na rdzeniu x86 oraz systemoperacyjny MINIX (a do tego oferującą sporo nowych możliwości).

Nowa wersja ME okazała się znacznie łatwiejsza do analizy. Todzięki temu Dmitrij Skliarow, Mark Ermołow i Maksym Gorjaczij,badacze z firmy Positive Technologies, mogli pokazać w sierpniu jakzneutralizowaćManagement Engine, przy okazji odkrywając specjalny tryb działaniaME – High Assurance Platform – prawdopodobnie wbudowany wprocesory Intela na zlecenie amerykańskiej Agencji BezpieczeństwaNarodowego (NSA).

Jak zneutralizować Intel Management Engine? Bardziej zaawansowani technicznie użytkownicy mogą zneutralizować Intel Management Engine, kasując wszystkie funkcjonalne moduły firmware i pozostawiając jedynie niezbędny program uruchomieniowy i rdzeń systemu. Takie „wyrwanie zębów” możliwe jest za pomocą narzędzia ME_cleaner. Działa on na praktycznie wszystkich platformach Intel Core, od Nehalem po Kaby Lake, ale warto wcześniej sprawdzić stan wsparcia. Uwaga: choć ME_cleaner wydaje się działać bez zarzutu (testowaliśmy!), to całą operację robicie na własną odpowiedzialność, to niskopoziomowa ingerencja w sprzęt, która może oznaczać utratę na niego gwarancji.

Wyposażeni w cały zestaw nowoczesnych narzędzi do analizy kodui wyszukiwania luk, badacze znaleźli coś więcej. Okazuje się, żepodczas przenoszenia Management Engine na nową architekturę, Intelpopełnił bardzo poważny błąd. Szczegółów póki co nie znamy,ale z zapowiedzi przedstawionej przez Ermołowa i Gorjaczija wynika,że odkryto lukę pozwalającą napastnikom na obejście zabezpieczeńi uruchomienie niepodpisanego kodu na Platform Controller Hubie nakażdej płycie głównej dla procesorów Skylake i późniejszych.

Co najgorsze, taka infekcja jest kompletnie niewidzialna dlasystemu operacyjnego komputera, nie można jej powstrzymać żadnymprogramem antywirusowym (one po prostu nie działają tak nisko), nicnie pomoże reinstalacja systemu ani aktualizacja BIOS-u. Właściwiejedyne co można chyba zrobić, to sięgnąć po narzędzia dowyłączenia Management Engine, a jeśli to jest niemożliwe, towyrzucić zainfekowaną płytę główną do śmieci. Co najlepsze,luka znacznie powiększy wiedzę badaczy o działania systemów,pozwala bowiem na ich pełne analizowanie w czasie rzeczywistym.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na