Опрос
|
Быстрый переход
Intel опровергла наличие уязвимости в технологии Active Management
17.01.2018 [22:25],
Константин Ходаковский
Недавно мы писали о том, что старший консультант по безопасности F-Secure Гарри Синтонен (Harry Sintonen) обнаружил неправильное стандартное поведение технологии Intel Active Management Technology (AMT). Это позволяет злоумышленнику при условии кратковременного физического доступа к компьютеру или ноутбуку получить возможность полного контроля над системой. ![]() Intel прокомментировала 3DNews эту информацию. Компания вначале выразила благодарность сообществу экспертов по IT-безопасности, которые обратили внимание на проблему, а затем отметила, что речь не идёт о технической проблеме или принципиальном недостатке технологии Intel Active Management Technology. Дело в том, что некоторые из производителей конечных устройств не защищают должным образом доступ к расширениям Intel Management Engine BIOS Extension (MEBx), через которые настраивается AMT. Поняв это, Intel рекомендовала производителям ещё в 2015 году по стандарту защищать доступ к MEBx с помощью пароля BIOS, используемого для ограничения доступа к остальным настройкам BIOS. ![]() Несмотря на это, новое исследование показало, что некоторые производители конечных ПК по-прежнему не защищают доступ к MEBx с помощью пароля BIOS. В результате неавторизованные пользователи при условии краткого физического доступа к ПК и в условиях отсутствия защиты MEBx действительно могут изменить настройки AMT. Поэтому в ноябре 2017 года компания выпустила обновлённую версию первоначальных рекомендаций от 2015 года с целью подтолкнуть производителей оборудования устанавливать более безопасные стандартные настройки. В частности, компания рекомендует производителям использовать опцию BIOS, отключающую предоставление USB, и по умолчанию активировать её, сделав доступ к MEBx более контролируемым. Корпорация подчеркнула, что задача обеспечения безопасности её клиентов имеет самый высокий приоритет и пообещала регулярно обновлять руководство для производителей систем, чтобы последние были в полной мере осведомлены о мерах по обеспечению защиты данных пользователей. ![]() В модуле Intel Management Engine найдены закладки для АНБ США
31.08.2017 [12:07],
Алексей Степин
Удобные средства удалённого управления спасают системным администраторам много сил — и одновременно представляют собой огромную угрозу безопасности в том случае, когда их нельзя отключить аппаратно с помощью джампера или переключателя на системной плате. Блок Intel Management Engine 11 в современных платформах Intel представляет собой именно такую опасность — изначально он неотключаем и, более того, на него завязаны некоторые механизмы инициализации и функционирования процессора, так что грубая деактивация может просто привести к полной неработоспособности системы. Уязвимость кроется в технологии Intel Active Management Technology (AMT) и при удачной атаке позволяет получить полный контроль над системой, о чём было рассказано ещё в мае этого года. Но исследователям из Positive Technologies удалось найти путь устранения угрозы. ![]() Intel PCH Сам процессор IME является частью микросхемы системного хаба (PCH). За исключением процессорных слотов PCI Express, всё общение системы с внешним миром проходит именно через PCH, а значит, IME имеет доступ практически ко всем данным. До версии 11 атака по этому вектору была маловероятна: процессор IME использовал собственную архитектуру с набором команд ARC, о которой было мало что известно сторонним разработчикам. Но в 11 версии с технологией сыграли плохую шутку: она была переведена на архитектуру x86, а в качестве ОС применили доработанный MINIX, а значит, сторонние исследования бинарного кода существенно упростились: и архитектура, и ОС неплохо документированы. Российским исследователям Дмитрию Склярову, Марку Ермолову и Максиму Горячему удалось расшифровать исполняемые модули IME 11 версии и начать их тщательное изучение. ![]() Расшифрованное содержимое IME Технологии Intel AMT присвоена оценка уязвимости 9,8 из 10 баллов. К сожалению, полное отключение IME на современных платформах невозможно по вышеописанной причине — подсистема тесно связана с инициализацией и запуском ЦП, а также управлением энергопотреблением. Но из образа флеш-памяти, содержащего модули IME, можно удалить всё лишнее, хотя сделать это очень сложно, особенно в версии 11. Активно развивается проект me_cleaner, утилита, позволяющая удалить общую часть образа и оставить только жизненно необходимые компоненты. Но приведём небольшое сравнение: если в версиях IME до 11 (до Skylake) утилита удаляла практически всё, оставляя примерно 90 Кбайт кода, то в настоящее время необходимо сохранить около 650 Кбайт кода — и то в некоторых случаях система может отключиться через полчаса, поскольку блок IME переходит в режим восстановления. ![]() Статус IME после установки бита reserve_hap Подвижки, однако, имеются. Вышеупомянутой группе исследователей удалось воспользоваться комплектом разработчика, который предоставляется самой Intel и включает в себя утилиты Flash Image Tool для настройки параметров IME и прошивальщик Flash Programming Tool, работающий через встроенный SPI-контроллер. Intel не выкладывает эти программы в открытый доступ, но найти их в сети не представляет особого труда. Полученные с помощью этого комплекта XML-файлы были подвергнуты анализу (они содержат структуру прошивки IME и описание механизма PCH strap). Один бит под названием «reserve_hap» (HAP) показался подозрительным из-за описания «High Assurance Platform (HAP) enable». Поиск в сети показал, что это название программы по созданию платформ высокой доверенности, связанная с АНБ США. Задействование этого бита показало, что система перешла в режим Alt Disable Mode. Блок IME не отвечал на команды и не реагировал на воздействия из операционной системы. Имеется и ряд более тонких нюансов, которые можно узнать в статье на Habrahabr.ru, но в новой версии me_cleaner уже реализована поддержка большей части опасных модулей без установки бита HAP, что вводит движок IME в состояние «TemporaryDisable». ![]() Последняя версия me_cleaner умеет делать это автоматически Последняя модификация me_cleaner оставляет даже в 11-ой версии IME только модули RBE, KERNEL, SYSLIB и BUP, в них не найдено кода, позволяющего включить саму систему IME. В дополнение к ним можно использовать и бит HAP для полной уверенности, что утилита также умеет делать. Intel ознакомлена с результатами исследований и подтвердила, что ряд настроек IME действительно связан с потребностями государственных организаций в средствах повышенной безопасности. Введены эти настройки были по просьбе правительственных клиентов США, они прошли ограниченную проверку и официально такие конфигурации компанией Intel не поддерживаются. Компания также отрицает внедрение в свои продукты так называемых бэкдоров. Уязвимость в чипах Intel позволяет взламывать компьютеры без ввода пароля
09.05.2017 [15:37],
Евгений Лазовский
Уязвимость в чипах Intel, которая оставалась незамеченной почти 10 лет, позволяет хакерам получать полный удалённый контроль над компьютерами. Баг кроется в аппаратной технологии Active Management Technology (AMT), с помощью которой администраторы дистанционно обслуживают компьютеры и выполняют другие задачи — например, обновляют программное обеспечение и чистят жёсткие диски. AMT позволяет управлять клавиатурой и мышью, даже если устройство выключено. ![]() Intel Технология доступна через браузер и защищена паролем, который устанавливает администратор. Проблема в том, что хакер может оставить поле пароля пустым и всё равно войти в консоль. Исследователи из Embedi, которые обнаружили уязвимость, рассказали, что проблема кроется в том, как происходит обработка пользовательских паролей через стандартный аккаунт администратора веб-интерфейса AMT. Компания по обеспечению сетевой безопасности Tenable подтвердила существование бага. По её словам, уязвимость относительно просто использовать удалённо. Intel заявила, что баг присутствует в ноутбуках, настольных компьютерах и серверных машинах минимум 2010 года выпуска, работающих на прошивке версии 6.0 и более поздних версий. Embedi добавила, что в зоне риска находятся все компьютеры с открытыми портами 16992 и 16993. Доступ к ним является единственным условием успешной атаки. ![]() Sans Institute С момента раскрытия бага системы сетевого мониторинга демонстрируют резкий рост зондирования указанных портов. Intel не рассказала, сколько устройств затронула уязвимость. Компания заверила, что уже работает с партнёрами над устранением проблемы. Также она выпустила инструмент, который позволяет проверить систему на наличие бага. |