Intel konečně opravil závažné chyby v Management Engine

Ostatně, když chyby v Management Engine přetrvávaly celé roky, tak několik dalších měsíců už asi nikoho nezabije. Během nich však proběhla také hloubková analýza, která měla odhalit několik chyb a zranitelných míst jak v Management Engine (ME), tak ve Trusted Execution Engine (TXE) a Server Platform Services (SPS). Problémů je celkem osm a všechny se dotýkají jádrových procesorových technologií, pro což Intel připravil opravné firmwary. Ty ale pochopitelně nebudou automaticky hned a všude dostupné, neboť jejich instalaci si už musí zařídit správci počítačů sami, takže mnoho počítačů nebude záplatováno vůbec. 

A krom toho všeho, Intel Management Engine vzbuzuje obavy i v tom ohledu, že jde o nezávislý stroj běžící přímo v našich procesorech na OS MINIX. K němu majitel počítače nemá žádný přístup, a tak ani nevíme, k čemu mu vůbec slouží třeba webový server. V každém případě, Intel ME má přístup ke všem datům na našich discích, k síti i k připojeným USB zařízením. Pokud tak Intel chce, může si s našimi počítači dělat co jej napadne. 

Pokud si spojíme tyto dvě věci, pak nám vyjde opravdu velká bezpečnostní hrozba. Útočníci se totiž mohou přes Intel ME dostat k datům počítače způsobem, který je pro hlavní OS, a tedy i pro uživatele, naprosto nezjistitelný a útok by šel zaznamenat spíše jen sledováním síťového provozu mezi napadeným počítačem a venkovní sítí. 

Intel sám potvrdil, že dané chyby mohly být využity třeba pro instalaci rootkitů na napadené systémy, spouštění kódu nezjistitelným způsobem a zvláště ME byl a je také náchylný pro vyvolání přetečení bufferu, což je využitelné třeba pro lokální i vzdálené spouštění kódu. Zkrátka a špatně, kvůli daným chybám mohl útočník získat neautorizovaný přístup k počítačím chráněným pomocí Intel ME, SPS a TXE, což se týká konkrétně verze ME 11.0/11.5/11.6/11.7/11.10/11.20, SPS 4.0 a TXE 3.0. Pro lepší přehled jde o následující procesorové rodiny (dříve se uvádělo, že mezi ně patří i vůbec první Core): 

Intel připravil také nástroj, pomocí nějž zjistíme, zda je náš systém některou z daných chyb postižen. Dále své zákazníky vyzývá k tomu, aby sledovali stránky výrobce svého počítače či desky a čekali na aktualizace firmwaru, ovšem do této doby je mělo připravit jen Lenovo, které je chce vypustit zítra, i když další firmy se mohou každou chvíli přidat.

Pak tu máme také vyjádření bezpečnostního experta firmy Google, Mathewa Garretta, dle nějž bude v případě napadení systémů tímto způsobem pro řadu firem levnějším řešením koupě nového hardwaru. 

If that happens? Only remediation path is to re-flash SPI by hand, because every internal root of trust is now under the control of the attacker. Probably cheaper for most companies to buy new hardware instead.

— Matthew Garrett (@mjg59) 20. listopadu 2017

​  

Čili ano, integrované procesory v CPU Intel skutečně jsou pádný důvod k obavám.

Zdroj: wccftech