Intel Management Engine znów straszy: czipsety niewykrywalnie zainfekowane?
Podczas tegorocznej konferencji Black Hat Europe, która odbędziesię na początku grudnia, zaprezentowany ma zostać spektakularnyatak na Intel Management Engine (ME), pierwszy tego rodzaju, azarazem stawiający pod dużym znakiem zapytania zasadnośćkorzystania z tego typu technologii. Odkrywcy, badacze z moskiewskiejfirmy Positive Technology, już wcześniej wykazali się głębokąwiedzą na temat działania technologii Intela, pokazując, jak możnają zneutralizować w swoim komputerze i korzystać z niego dalej.Teraz mają zademonstrować,jak uczynić z Management Engine nośnik nieusuwalnego malware.
W ostatnim roku obserwujemy ogromny wzrost zainteresowaniaopracowaną przez Intela technologią zdalnego zarządzania, i tozainteresowania z tej niepokojącej strony. Wbudowany w układPlatform Controler Hub (PCH) mikrokontroler z własną pamięcią, iwłasnym systemem operacyjnym ma dostęp do praktycznie wszystkichdanych na komputerze, może sterować jego komponentami, zapewniazdalny dostęp przez sieć. Od lat podejrzewano, że ManagementEngine może stanowić poważne zagrożenie – i faktycznie, w końcutaką lukę znaleziono– dawała dostęp do usług Intel Active Management Technology wkomputerzach obsługujących technologie vPro.
To, że udało się lukę namierzyć, było dużym osiągnięciemMaksymiliana Maliutina z holenderskiej firmy Embedi. ManagementEngine było bowiem bardzo osobliwą technologią, o którejpraktycznie nic nie było wiadomo, poza tym, że działał podkontrolą systemu czasu rzeczywistego ThreadX, uruchomionego naegzotycznym procesorze z rdzeniem ARC, zbliżonym architekturą doprocesora konsoli SuperNintendo. W ostatnich latach Intel zdecydowałsię jednak porzucić egzotykę i wprowadził nową wersję ME 11,wykorzystującą The Minute IA, procesor na rdzeniu x86 oraz systemoperacyjny MINIX (a do tego oferującą sporo nowych możliwości).
Nowa wersja ME okazała się znacznie łatwiejsza do analizy. Todzięki temu Dmitrij Skliarow, Mark Ermołow i Maksym Gorjaczij,badacze z firmy Positive Technologies, mogli pokazać w sierpniu jakzneutralizowaćManagement Engine, przy okazji odkrywając specjalny tryb działaniaME – High Assurance Platform – prawdopodobnie wbudowany wprocesory Intela na zlecenie amerykańskiej Agencji BezpieczeństwaNarodowego (NSA).
Jak zneutralizować Intel Management Engine? Bardziej zaawansowani technicznie użytkownicy mogą zneutralizować Intel Management Engine, kasując wszystkie funkcjonalne moduły firmware i pozostawiając jedynie niezbędny program uruchomieniowy i rdzeń systemu. Takie „wyrwanie zębów” możliwe jest za pomocą narzędzia ME_cleaner. Działa on na praktycznie wszystkich platformach Intel Core, od Nehalem po Kaby Lake, ale warto wcześniej sprawdzić stan wsparcia. Uwaga: choć ME_cleaner wydaje się działać bez zarzutu (testowaliśmy!), to całą operację robicie na własną odpowiedzialność, to niskopoziomowa ingerencja w sprzęt, która może oznaczać utratę na niego gwarancji.
Wyposażeni w cały zestaw nowoczesnych narzędzi do analizy kodui wyszukiwania luk, badacze znaleźli coś więcej. Okazuje się, żepodczas przenoszenia Management Engine na nową architekturę, Intelpopełnił bardzo poważny błąd. Szczegółów póki co nie znamy,ale z zapowiedzi przedstawionej przez Ermołowa i Gorjaczija wynika,że odkryto lukę pozwalającą napastnikom na obejście zabezpieczeńi uruchomienie niepodpisanego kodu na Platform Controller Hubie nakażdej płycie głównej dla procesorów Skylake i późniejszych.
Co najgorsze, taka infekcja jest kompletnie niewidzialna dlasystemu operacyjnego komputera, nie można jej powstrzymać żadnymprogramem antywirusowym (one po prostu nie działają tak nisko), nicnie pomoże reinstalacja systemu ani aktualizacja BIOS-u. Właściwiejedyne co można chyba zrobić, to sięgnąć po narzędzia dowyłączenia Management Engine, a jeśli to jest niemożliwe, towyrzucić zainfekowaną płytę główną do śmieci. Co najlepsze,luka znacznie powiększy wiedzę badaczy o działania systemów,pozwala bowiem na ich pełne analizowanie w czasie rzeczywistym.
