Zdalne uruchamianie kodu na niemal wszystkich procesorach Intela: to znów wina Management Engine
Prześladowany kolejnymi odkryciami luk w mechanizmiespekulatywnego wykonywania instrukcji, Intel odkrył, że jego czipysą podatne na atak z drugiej strony – niesławnego podsystemuzdalnego zarządzania Management Engine. Ten komputer-w-komputerze,mogący sprawować całkowitą kontrolę nad procesami zachodzącymiwe współczesnych pecetach, okazał się być podatny na dwa ataki,z których jeden pozwala na zdalne uruchomienie kodu.
Intel Management Engine budził kontrowersje od swojegowprowadzenia do procesorów w 2008 roku. Powodem tych kontrowersjibyła zamknięta natura podsystemu, w teorii pozwalająca naukrywanie w nim backdoorów i omijanie wszelkich zabezpieczeńsystemów operacyjnych. Z drugiej jednak strony Management Engine ijego oprogramowanie Active Management Technology znacząco ułatwiłyżycie administratorów w dużych organizacjach, pozwalając im nałatwe zdalne zarządzanie maszynami w sieci.
Nawet oni jednak chcieliby więcej wiedzieć, jak ManagementEngine działa, a nawet niekiedy podsystem ten wyłączyć. NiestetyIntel nigdy tego nie ujawnił, na wyłączenie też nie pozwolił.Nie zmieniła w tej kwestii nic nawet radykalna zmiana architekturyManagement Engine, do której doszło w procesorach Skylake.Egzotyczny rdzeń ARC core z systemem czasu rzeczywistego ThreadXzastąpił zwykły 32-bitowy x86 (Intel Quark) z systemem MINIX 3. Ito jednak było odkryciem niezależnychbadaczy z Rosji, którzy przy okazji doszukali się w ManagementEngine spektakularnych luk bezpieczeństwa.
Mówiło się niekiedy, że to kwestia umów licencyjnych iochrony własności intelektualnej. Za pomocą Management Engine sąbowiem też wymuszane polityki DRM, odpowiada za to moduł ProtectedAudio Video Path. Partnerzy Intela z Hollywood byliby po prostunieszczęśliwi, gdyby zwykły użytkownik mógł sobie to ot takwyłączyć, by dopuścić się niewysłowionych aktów piractwamedialnego.
Niestety za to zadowolenie partnerów Intela płacimy naszymbezpieczeństwem. Nowo odkryte luki w Management Engine są jeszczegroźniejsze od poprzednio odkrytych, łatwiej je wyexploitować.
Pierwsza z nich to CVE-2018-3627.Zagraża on wszystkim procesorom Intel Core 6., 7. i 8. generacji, atakże Xeonom Greenlow i Basin Falls. Określono go jako błąd wlogice Intel Converged Security Management Engine, i pozwala mającemulokalny dostęp napastnikowi na uruchomienie dowolnego kodu zuprawnieniami administracyjnymi.
Drugą luką jest CVE-2018-3628.Zagraża ona wszystkim generacjom procesorów Core, od 1. do 8.,stareńkim procesorom Core 2 Duo i Centrino 2 z technologiami vPro,oraz Xeonom z rodzin Greenlow, Purley i Basin Falls. Intel określiłbłąd jako przepełnienie bufora w uchwycie HTTP w Intel ActiveManagement Technology. Pozwala to napastnikowi na zdalne wykonaniedowolnego kodu, o ile znajduje się on w tej samej podsieci. Conajgorsze, nie trzeba mieć do tego nawet hasła administratora.
Co teraz?
Tak naprawdę nie jesteśmy na podstawie lakonicznych komunikatówIntela ocenić, co z tym zrobić można. Badacze z PositiveTechnologies, ci sami którzy odkryli w zeszłym roku dwie podatnościw Management Engine, zapowiadają ich dogłębniejsze zbadanie.Uważają, że luki te zostały wykryte przy okazji audytu koduprzeprowadzonego przez Intela po ich odkryciu, zostały jednakodsunięte na bok, by nie przestraszyć jednoczesnym wydaniem takiejilości łatek na firmware Management Engine.
Jak zwykle w tej sytuacji zachęcić możemy do zneutralizowaniaraz a dobrze Intel Management Engine za pomocą niezależnegonarzędzia ME_cleaner.Usuwa ono moduły ME, czyniąc je bezzębnym. Zarazem pozostawiawszystko to, co niezbędne jest dla uruchomienia komputera iuniknięcia jego wyłączenia po 30 minutach.