W zabezpieczeniach zdalnego zarządzania Intela przez 9 lat tkwiła luka

Ostrzeżenia przed wbudowanymi w czipsety Intela technologiamizdalnego zarządzania komputerami były długo przedstawiane jakodomena ludzi noszących aluminiowe czapeczki. Odkryta przez MaksymaMaliutina podatność, którą oznaczono jako CVE-2017-5689,dowodzi, że obawy nie były nieuzasadnione. Pozwala onanieuprzywilejowanemu użytkownikowi przejąć kontrolę nad usługamiIntel Active Management Technology (AMT), Standard Manageability(ISM) oraz Small Business Technology (SBT) w wersjach firmware od 6do 11.6, dotyczy więc milionów pecetów na całym świecie.

Wspomniane mechanizm zarządzające występują w czipsetachIntela od czasów wprowadzenia na rynek pierwszych procesorówNehalem Core i stosowane są do dzisiaj. Wspomniana usługa AMT możedziałać na wszystkich komputerach z płytą główną, procesorem ifirmware oznaczonymi jako obsługujące zbiór technologii vPro,przeznaczonych do znalnego zarządzania pecetami. Nasłuchuje onapakietów przesyłanych na portach 16992 i 16993, by przekierować jebezpośrednio do mikroprocesora Intel Management Engine –działającego całkowicie poza kontrolą systemu operacyjnego.

Dostęp do AMT można uzyskać poprzez webową konsolę, którazapewnia całkowitą kontrolę nad komputerem. Możemy za jej pomocązarządzać aktywnością komputera, możemy dostarczyć obraz ISOsystemu do zainstalowania, który zostanie automatycznie zamontowany(otwierając drogę do uruchomienia własnego kodu), możemy nawetuzyskać zdalny dostęp, zarówno tekstowy, jak i graficzny (o ilesystem operacyjny na zdalnym komputerze jest odpowiednioskonfigurowany).

To wszystko wymaga oczywiście podania hasła administratora…albo i nie. W marcu rosyjski badacz z zajmującej siębezpieczeństwem Internetu Rzeczy holenderskiej firmy Embedi zgłosiłsię do Intela z informacją o odkryciu podatności w firmwareIntela, która pozwalałaby na nieuprawniony dostęp do AMT, ISM iSBT. Nie podano żadnych szczegółów, wiemy jedynie, że jeśliusługi te są uaktywnione, atak możliwy jest przez sieć, jeślinie działają, atak możliwy jest tylko lokalnie.

Intel wydał już aktualizacje firmware dla zagrożonychczipsetów. Możemy sprawdzić, czy taka aktualizacja jest nampotrzebna z pomocą oficjalnegoporadnika. Trzeba jednak otwarcie powiedzieć, żeprawdopodobieństwo tego dla większości użytkowników jest małe.Te wszystkie usługi zarządzające są wykorzystywane przedewszystkim na korporacyjnych pecetach, nawet jeśli nasz mikroprocesori czipset wspierają technologie vPro, to nie znaczy to, że działana nich niezależnie licencjonowana usługa AMT.

Nie oznacza to jednak, że można wzruszyć ramionami i powiedzieć„eh, nic się nie stało”. Nie mamy pojęcia, co dzieje się wIntel Management Engine, nie wie tego pewnie nawet Microsoft. Tozamknięta, własnościowa czarna skrzynka, działająca poniżejsystemu operacyjnego a nawet hiperwizora, która ma pełen dostęp docałego sprzętu. W jej środku tkwi dziwaczny procesor z rdzeniemARC, konstrukcyjnie zbliżony do czipu SuperFX z konsoliSuperNintendo, na tym wszystkim działa system czasu rzeczywistegoThreadX. Jeśli spróbować uszkodzić firmware, komputer zostaniewyłączony po 30 minutach.

Obecnie jest tylko jeden sprawdzony sposób na zneutralizowanieIntel Management Engine. Wykorzystując modularność firmwareIntela, udało się zrekonstruować mapę tych modułów – iselektywnie je wyzerować, tak że w firmware pozostaje tylkoniegroźny kernel. Automatycznie możemy to zrobić za pomocąnapisanego w Pythonie narzędzia ME_cleaner.Działa ono już nawet z najnowszymi czipsetami Sunrise Pointprocesorów Skylake/Kaby Lake, nie radzi sobie jedynie w sytuacji,gdy włączony jest Intel Boot Guard z funkcją Verified Boot.