Недавно мы писали о том, что старший консультант по безопасности F-Secure Гарри Синтонен (Harry Sintonen) обнаружил неправильное стандартное поведение технологии Intel Active Management Technology (AMT). Это позволяет злоумышленнику при условии кратковременного физического доступа к компьютеру или ноутбуку получить возможность полного контроля над системой.

Intel прокомментировала 3DNews эту информацию. Компания вначале выразила благодарность сообществу экспертов по IT-безопасности, которые обратили внимание на проблему, а затем отметила, что речь не идёт о технической проблеме или принципиальном недостатке технологии Intel Active Management Technology.

Дело в том, что некоторые из производителей конечных устройств не защищают должным образом доступ к расширениям Intel Management Engine BIOS Extension (MEBx), через которые настраивается AMT. Поняв это, Intel рекомендовала производителям ещё в 2015 году по стандарту защищать доступ к MEBx с помощью пароля BIOS, используемого для ограничения доступа к остальным настройкам BIOS.

Несмотря на это, новое исследование показало, что некоторые производители конечных ПК по-прежнему не защищают доступ к MEBx с помощью пароля BIOS. В результате неавторизованные пользователи при условии краткого физического доступа к ПК и в условиях отсутствия защиты MEBx действительно могут изменить настройки AMT. Поэтому в ноябре 2017 года компания выпустила обновлённую версию первоначальных рекомендаций от 2015 года с целью подтолкнуть производителей оборудования устанавливать более безопасные стандартные настройки. В частности, компания рекомендует производителям использовать опцию BIOS, отключающую предоставление USB, и по умолчанию активировать её, сделав доступ к MEBx более контролируемым.

Корпорация подчеркнула, что задача обеспечения безопасности её клиентов имеет самый высокий приоритет и пообещала регулярно обновлять руководство для производителей систем, чтобы последние были в полной мере осведомлены о мерах по обеспечению защиты данных пользователей.

Удобные средства удалённого управления спасают системным администраторам много сил — и одновременно представляют собой огромную угрозу безопасности в том случае, когда их нельзя отключить аппаратно с помощью джампера или переключателя на системной плате. Блок Intel Management Engine 11 в современных платформах Intel представляет собой именно такую опасность — изначально он неотключаем и, более того, на него завязаны некоторые механизмы инициализации и функционирования процессора, так что грубая деактивация может просто привести к полной неработоспособности системы. Уязвимость кроется в технологии Intel Active Management Technology (AMT) и при удачной атаке позволяет получить полный контроль над системой, о чём было рассказано ещё в мае этого года. Но исследователям из Positive Technologies удалось найти путь устранения угрозы.

Intel PCH

Сам процессор IME является частью микросхемы системного хаба (PCH). За исключением процессорных слотов PCI Express, всё общение системы с внешним миром проходит именно через PCH, а значит, IME имеет доступ практически ко всем данным. До версии 11 атака по этому вектору была маловероятна: процессор IME использовал собственную архитектуру с набором команд ARC, о которой было мало что известно сторонним разработчикам. Но в 11 версии с технологией сыграли плохую шутку: она была переведена на архитектуру x86, а в качестве ОС применили доработанный MINIX, а значит, сторонние исследования бинарного кода существенно упростились: и архитектура, и ОС неплохо документированы. Российским исследователям Дмитрию Склярову, Марку Ермолову и Максиму Горячему удалось расшифровать исполняемые модули IME 11 версии и начать их тщательное изучение.

Расшифрованное содержимое IME

Технологии Intel AMT присвоена оценка уязвимости 9,8 из 10 баллов. К сожалению, полное отключение IME на современных платформах невозможно по вышеописанной причине — подсистема тесно связана с инициализацией и запуском ЦП, а также управлением энергопотреблением. Но из образа флеш-памяти, содержащего модули IME, можно удалить всё лишнее, хотя сделать это очень сложно, особенно в версии 11. Активно развивается проект me_cleaner, утилита, позволяющая удалить общую часть образа и оставить только жизненно необходимые компоненты. Но приведём небольшое сравнение: если в версиях IME до 11 (до Skylake) утилита удаляла практически всё, оставляя примерно 90 Кбайт кода, то в настоящее время необходимо сохранить около 650 Кбайт кода — и то в некоторых случаях система может отключиться через полчаса, поскольку блок IME переходит в режим восстановления.

Статус IME после установки бита reserve_hap

Подвижки, однако, имеются. Вышеупомянутой группе исследователей удалось воспользоваться комплектом разработчика, который предоставляется самой Intel и включает в себя утилиты Flash Image Tool для настройки параметров IME и прошивальщик Flash Programming Tool, работающий через встроенный SPI-контроллер. Intel не выкладывает эти программы в открытый доступ, но найти их в сети не представляет особого труда.

Полученные с помощью этого комплекта XML-файлы были подвергнуты анализу (они содержат структуру прошивки IME и описание механизма PCH strap). Один бит под названием «reserve_hap» (HAP) показался подозрительным из-за описания «High Assurance Platform (HAP) enable». Поиск в сети показал, что это название программы по созданию платформ высокой доверенности, связанная с АНБ США. Задействование этого бита показало, что система перешла в режим Alt Disable Mode. Блок IME не отвечал на команды и не реагировал на воздействия из операционной системы. Имеется и ряд более тонких нюансов, которые можно узнать в статье на Habrahabr.ru, но в новой версии me_cleaner уже реализована поддержка большей части опасных модулей без установки бита HAP, что вводит движок IME в состояние «TemporaryDisable».

Последняя версия me_cleaner умеет делать это автоматически

Последняя модификация me_cleaner оставляет даже в 11-ой версии IME только модули RBE, KERNEL, SYSLIB и BUP, в них не найдено кода, позволяющего включить саму систему IME. В дополнение к ним можно использовать и бит HAP для полной уверенности, что утилита также умеет делать. Intel ознакомлена с результатами исследований и подтвердила, что ряд настроек IME действительно связан с потребностями государственных организаций в средствах повышенной безопасности. Введены эти настройки были по просьбе правительственных клиентов США, они прошли ограниченную проверку и официально такие конфигурации компанией Intel не поддерживаются. Компания также отрицает внедрение в свои продукты так называемых бэкдоров.

Уязвимость в чипах Intel, которая оставалась незамеченной почти 10 лет, позволяет хакерам получать полный удалённый контроль над компьютерами. Баг кроется в аппаратной технологии Active Management Technology (AMT), с помощью которой администраторы дистанционно обслуживают компьютеры и выполняют другие задачи — например, обновляют программное обеспечение и чистят жёсткие диски. AMT позволяет управлять клавиатурой и мышью, даже если устройство выключено.

Intel

Технология доступна через браузер и защищена паролем, который устанавливает администратор. Проблема в том, что хакер может оставить поле пароля пустым и всё равно войти в консоль.

Исследователи из Embedi, которые обнаружили уязвимость, рассказали, что проблема кроется в том, как происходит обработка пользовательских паролей через стандартный аккаунт администратора веб-интерфейса AMT.

Компания по обеспечению сетевой безопасности Tenable подтвердила существование бага. По её словам, уязвимость относительно просто использовать удалённо.

Intel заявила, что баг присутствует в ноутбуках, настольных компьютерах и серверных машинах минимум 2010 года выпуска, работающих на прошивке версии 6.0 и более поздних версий. Embedi добавила, что в зоне риска находятся все компьютеры с открытыми портами 16992 и 16993. Доступ к ним является единственным условием успешной атаки.

Sans Institute

С момента раскрытия бага системы сетевого мониторинга демонстрируют резкий рост зондирования указанных портов. Intel не рассказала, сколько устройств затронула уязвимость.

Компания заверила, что уже работает с партнёрами над устранением проблемы. Также она выпустила инструмент, который позволяет проверить систему на наличие бага.