Дырка в безопасности Intel Management Engine Interface

Приветствуем!

Появилось желание поделиться тревожными новостями и одним из методов решения.

Лаборатория Касперского в своём блоге на хабре, в посте, посвящённому Security Week 18, поведала о проблеме безопасности в IMEI:

То, о чем так долго говорили большевики безопасники, свершилось. Свершилось почти десять лет назад, а сейчас об этом стало широко известно: в микропрограмме Intel Management Engine обнаружилась уязвимость. В оповещении от Intel указаны версии от 6.0 до 11.6, а, это, на минуточку, все версии, начиная с 2008 года, с платформ для процессоров Intel Core первого поколения.

Тем, кто хорошо знает, что умеет ME, уже страшно. Оно может читать и писать в любую область оперативной памяти и накопителей, подсматривать за происходящем на экране, посылать и получать из сети всякое, игнорируя работающий в системе файрволл, и все это, не оставляя в логах никаких следов. По слухам, даже шифрование диска ME обходит без напряга. Нечеловечески полезная штука.

Ежу понятно, что встраивая в материнки легитимный аппаратный бэкдор, надо по-максимуму закрутить гайки в системе безопасности, что Intel и сделала. Код iME, например, зашифрован 2048-битным ключом. Но как обычно, что-то пошло не так, и теперь прогрессивная общественность доподлинно узнала о возможности удаленно захватывать доступ к функциям управления ME. Под угрозой машины, в которых реализованы технологии AMT, ISM и SBT. Ну то есть вообще все на интеловских чипсетах под Intel Core.

Правда, Intel в своем оповещении указывает, что уязвимости нет на обычных консьюмерских системах, и оно вроде бы похоже на правду – там как бы нет AMT, ISM и SBT. Но мы же понимаем, что консьюмерский продукт по большому счету отличается от корпоративного настроечками в прошивке. Так и в этом случае: как уже успели выяснить исследователи, эксплуатировать дыру можно и на консьюмерском чипсете, только не удаленно, а локально. То есть, например, какая-нибудь малварь из юзерспейса вполне способна получить неограниченную власть над системой.

Люди в теме тут же начали вспоминать, что кое-кто намекал на наличие дыр в ME еще в прошлом году. Дамьен Заммит ругался на то, что безопасность ME основана на закрытости кода, что для рукастых аналитиков не является неразрешимой проблемой. А Чарли Демерьян из SemiAccurate вообще заявил, что исследователи давно уже тыкали этими уязвимостями в Intel. Прослышав об этом, Threatpost задал Intel закономерный вопрос – что, мол, это было, – но Уильям Мосс из Intel ни в чем не сознался. По его словам, компания узнала обо всем лишь в марте, и вот уже в мае готов патч. Чего ж еще вы хотите от Intel, неблагодарные?!

Патч – дело хорошее. Но мы же понимаем, что кроме плат производства самой Intel, есть еще огромное множество плат других производителей на их чипсетах. За них Intel не отвечает – скинули им патч и забыли. А вот закроют ли дыру в своих прошивках эти самые сторонние производители, и когда, это вопрос. Пока же предлагается отключить технологии удаленного управления в CMOS Setup и снести из системы соответствующие утилиты Intel. Ну ок.

Что-ж, вести не самые приятные. Большое количество наших читателей и клиентов имеет серверные чипсеты, поэтому в первую очередь эта информация важна именно им. Если вы используете хотя бы одну из технологий удалённого доступа к компьютеру на чипсетном уровне – пока что отключите их, и не включайте до следующего обновления биоса – интел предоставил патч, осталось только разработчикам внедрить его в следующий апдейт.

А пока что, если у вас есть сомнения, можно воспользоваться этим скриптом на Python’е — https://github.com/corna/me_cleaner.

Для macOS, и других BSD систем интерпретатор Python’а лежит в /usr/bin/python, то есть терминал его открывает без дополнительных вызовов:

Скриншот ~/me_cleaner.py -h

Для Windows интерпретатор нужно вызывать. Он лежит по пути C:\Program Files\Python36\python.exe, поэтому команда будет выглядеть следующим образом: "C:\Program Files\Python36\python.exe" "C:\Users\User\Downloads\me_cleaner-master\me_cleaner.py"

Для работы скрипта нужно сдампить прошивку IMEI (или скачать с сайта поставщика железа), и применить патч.
Достать дамп можно, например, через FTP пакет для DOS, сделав полный дамп. Или же, для Windows есть специальные тулзы, которые гуглятся на раз-два.

Увы, более детально процесс патчинга ME и его извлечения в рамках новости рассказать не можем – в ином случае компьютеры полетят с бешеной скоростью, т.к. это работа с низкоуровневыми компонентами, во время которой ошибка равна “брику” материнки.

Надеемся, что были полезны.
Хорошего настроения!

5 комментариев to “Дырка в безопасности Intel Management Engine Interface

  • А если не проделать вышеописанные манипуляции, то что будет?

    • Андрей Чернышов
      7 месяцев ago

      Если решение домашнее, то ничего не должно случиться катастрофичного. А если серверное – то ждать вирма для IMEI, который будет опаснее, чем любой “бэкдор” в системе, т.к. IMEI это аппаратная вещь.

  • Можно список тулзов под винду для дампа прошивки? Я что-то не смог найти “на раз-два”.

    • Андрей Чернышов
      7 месяцев ago

      Не можем, увы. Безопасности ради.
      К тому же, эти утилиты помечены как “Intel Confidential”.

    • Никомаров Евгений
      6 месяцев ago

      Дамп прошивки, то есть ME region в BIOS, Вы можете вытащить утилитой UEFITool https://github.com/LongSoft/UEFITool из файла своего биоса, взятого с сайта производителя. Замена прошивки менее тривиальна. Используйте Intel ME System Tools отсюда
      http://www.win-raid.com/t596f39-Intel-Management-Engine-Drivers-Firmware-amp-System-Tools.html
      утилита FWUpdate. Это уже давно не секрет – лет 5 выложено в открытой сети. Почитайте информацию на указанной странице и сайте. Не понял, нельзя ли закрыть дырку патчем драйверов МЕ.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.