По наводке российских исследователей кибербезопасности Intel провела аудит прошивки ME и обнаружила в ней несколько уязвимостей. Поскольку баги находятся на уровне прошивки, хакер может запустить через них вредоносный код или совершать другие действия на устройстве незаметно для ОС, администратора и других пользователей.
Результаты аудита
Проведя аудит своей продукции, компания Intel обнаружила 10 серьезных уязвимостей в системах Management Engine (ME), Trusted Execution Engine (TXE) и Server Platform Services (SPS). Количество потенциально уязвимых компьютеров и серверов исчисляется миллионами. Аудит был проведен после того, как одну из этих уязвимостей в августе обнаружилиисследователи безопасности из компании Positive Technologies Марк Ермолови Максим Горячий. Компания обнародоваларезультаты проверки на сайте своего центра безопасности.
Intel ME состоит из микроконтроллера, который работает с чипом семейства микросхем Platform Controller Hub (PCH), в сочетании с интегрированными периферийными устройствами. Он обрабатывает большую часть данных, перемещаемых между процессором и внешними устройствами, и, таким образом, имеет доступ к большинству данных на хост-компьютере.
Сама по себе ME является «едва задокументированным черным ящиком», пишет ресурс The Register. У него свой CPU и своя ОС, которые находятся вне поля зрения ОС компьютера, его антивирусов и других программ. ME дает возможность администратору удаленно исправлять ошибки, переустанавливать ОС или брать под контроль компьютер. Если же ME скомпрометирован, он превращается в бэкдор, который дает возможность уже хакеру захватить контроль над устройством жертвы.
SPS базируется на ME и позволяет удаленно конфигурировать сервера через сеть. TXE представляет собой технологию аутентификации аппаратуры.
Что позволяют уязвимости
Залегающие на уровне прошивки уязвимости позволяют вошедшим в систему администраторам, или каким-либо процессам с высоким уровнем привилегий, запустить вредоносный код под операционной системой, который она не сможет заметить.
Благодаря этому хакер сможет осуществлять прослушку компьютера и совершать с ним другие манипуляции, причем все эти процессы будут протекать полностью вне поля зрения администратора и других пользователей. Используя эти же дыры, сетевой администратор или тот, кто себя за него выдает, может удаленно инфицировать компьютеры шпионским ПО и невидимыми руткитами.
Благодаря этим же уязвимостям вошедшие в систему пользователи, или вредоносные, удаленно управляемые приложения, могут извлекать из памяти компьютера конфиденциальную и защищенную информацию, включая пароли и ключи шифрования. Это особенно опасно для серверов и другого многопользовательского оборудования.
Список дыр и защитные меры
В список аппаратных компонентов, где присутствуют описанные уязвимости, вошли процессоры Intel Core шестого, седьмого и восьмого поколения, Intel Xeon E3-1200 v5 и v6, Intel Xeon Scalable, Intel Xeon W, Intel Atom C3000, серия Apollo Lake Intel Atom E3900, семейство Apollo Lake Intel Pentium, а также серии Celeron N и J.
Уязвимостям, найденным в ME, были присвоены названия CVE-2017-5705, CVE-2017-5708, CVE-2017-5711, CVE-2017-5712, CVE-2017-5711 и CVE-2017-5712. Уязвимости в SPS получили номера CVE-2017-5706 и CVE-2017-5709. Уязвимости в TXE называются CVE-2017-5707 и CVE-2017-5710.
Чтобы узнать, присутствуют ли эти уязвимости в их оборудовании, пользователи могут скачать и запустить инструмент Intel-SA-00086. После этого следует дождаться обновления прошивки от производителя аппаратуры. Intel поясняет, что необходимый код уже написан, но требует подписей вендоров. В частности, Lenovo уже справилась с задачей, ее обновления можно получить на сайте поддержки.