Intel má chybu v čipsetech a CPU. Útočník může poškodit firmware a „bricknout“ desku

Zranitelnost objevená v řadiči SPI Flash čipsetů Intel dovoluje smazat nebo poškodit UEFI, útočník či malware mohou způsobit, že počítač přestane fungovat.

Od Jan Olšan -
29

Kdo by to v těchto časech čekal, dámy a pánové, ale zdá se, že byla objevena bezpečnostní zranitelnost (lidově řečeno díra) související s procesory. Nejde v tomto případě přímo o hardwarovou chybu, jakož spíš o chybu ve firmwaru a souvisejícím kódu (podobně jako třeba v případě nedávných kontroverzně medializovaných zranitelností u AMD). I tak má ale nepříjemné „nesoftwarové“ dopady, pokud by byla zneužita nějakým malwarem.

Problém s označením CVE-2017-5703 se týká platformy procesorů Intel a paměti SPI Flash, ve které mají PC (ale potažmo i notebooky, servery) nahraný BIOS či přesněji řečeno UEFI, které legacy BIOS nahradilo v roli firmwaru. Firmware se dá aktualizovat, takže je do něj možno ze strany softwaru za určitých podmínek provést zápis. U procesorů Intel z poslední doby ale v těchto mechanismech byla nalezena slabá místa, která může zneužít útočník nebo malware. Lokalizována by zřejmě měla být v rozhraní čipsetu komunikujícím s pamětí SPI Flash a problém spočívá v tom, že řadič dovoluje některé úpravy, které by neměl.

Útok na tyto zranitelnosti podle popisu na webu firmy Lenovo může způsobit porušení nebo smazání obsahu paměti SPI Flash s UEFI. Takový zásah by mohl způsobit různé chyby, zejména ale znemožnit naběhnutí počítače. Podle Lenova by mohlo být znemožněno firmware aktualizovat a teoreticky dosaženo i spuštění libovolného kódu během bootu. V případě znefunkčnění UEFI útočníkem by byly následky dost nepříjemné. Pokud by se takovýto počítač jednou vypnul, už byste ho nenastartovali. Deska by byla jak se říká „bricknutá“. Pro nové naflashování zdravého BIOSu PC totiž nejdříve musíte nějak spustit, což ale bez UEFI nejde. Pokud by vás nezachránila přítomnost druhého záložního BIOSu na desce, oprava by nebyla v běžných domácích podmínkách možná. Čip s BIOSem by bylo nutné flashnout manuálně programovacím přístrojem, nebo fyzicky vyměnit.

Chyba je zneužitelná lokálním útočníkem, tedy typicky škodlivým softwarem, který na PC z nějakého důvodu spustíte. Vzdálené zneužití patrně možné není. Podle Intelu je závažnost na úrovni „high“ a ohodnocená je číslem 7.9 z 10.

Popis chyby na webu Intelu
Popis chyby na webu Intelu

Chyba byla nalezena přímo Intelem, zatím ji asi nikdo nezneužíval

Zneužití chyby naštěstí podle Intelu ještě nebylo pozorováno v reálném světě, tudíž snad nyní není nebezpečí bezprostřední. Intel uvádí, že problém byl objeven přímo jeho zaměstnanci, nikoliv třetí stranou. Zároveň už byla vyvinuta oprava, kterou firma předal výrobcům počítačů a desek. Oprava je však na úrovni BIOSu (UEFI), takže ji budou muset distribuovat tito výrobci, což její šíření patrně zdrží, jak už to tak chodí. Výrobci budou totiž muset ručně sestavit, validovat a vydat BIOS pro každý model.

Postižené generace (platformy) procesorů

  • 8th generation Intel® Core™ Processors
  • 7th generation Intel® Core™ Processors
  • 6th generation Intel® Core™ Processors
  • 5th generation Intel® Core™ Processors
  • Intel® Pentium® and Celeron® Processor N3520, N2920, and N28XX
  • Intel® Atom™ Processor x7-Z8XXX, x5-8XXX Processor Family
  • Intel® Pentium™ Processor J3710 and N37XX
  • Intel® Celeron™ Processor J3XXX
  • Intel® Atom™ x5-E8000 Processor
  • Intel® Pentium® Processor J4205 and N4200
  • Intel® Celeron® Processor J3455, J3355, N3350, and N3450
  • Intel® Atom™ Processor x7-E39XX Processor
  • Intel® Xeon® Scalable Processors
  • Intel® Xeon® Processor E3 v6 Family
  • Intel® Xeon® Processor E3 v5 Family
  • Intel® Xeon® Processor E7 v4 Family
  • Intel® Xeon® Processor E7 v3 Family
  • Intel® Xeon® Processor E7 v2 Family
  • Intel® Xeon® Phi™ Processor x200
  • Intel® Xeon® Processor D Family
  • Intel® Atom™ Processor C Series

Zranitelné mají být platformy uvedené v tomto seznamu. V prvé řadě jde o desktopové a notebookové procesory Brodwell, Skylake, Kaby Lake a Coffee Lake, tedy všechny mainstreamové procesory Intelu od roku 2015. Ale také Atomy. Nevím, zda je seznam úplně stoprocentně kompletní, ale podle různých modelových označení se jedná o čipy Bay Trail, Cherry Trail/Braswell a Apollo Lake. Kromě toho také serverové Atomy řady C, nejspíš včetně nejnovějšího Denvertonu, Xeony Phi řady x200 (tedy Knights Landing) a dále například enterprise Xeony E7-2800/4800/8800 generací V2, V3 a V4, což by měly být čipy Ivy Bridge EX (též Ivy Town), Haswell-EX a Broadwell-EX. Ale pozor, namočené jsou podle všeho také nejnovější Xeony Skylake-SP a také Xeony D.

intel-atom-c3000-procesor-denverton

Opět aktualizace BIOSů pro velké množství PC

Rozsahem postižení je tedy tento bug asi dost problematický, jelikož výrobcům dá hodně práce vydat BIOSy pro veškeré postižené počítače a desky (navíc nejde o první takový případ, totéž je nedávno přinutila udělat chyba Spectre a předtím zranitelnosti Intel ME). Doufejme, že to nepovede k tomu, že se výrobci na některé starší systémy vykašlou. Pokud běžíte na platformě Intel, patrně vás opět čeká zkoumání stránek s BIOSy, případně zjišťování, zda je váš notebook či deska touto chybou postižena. Intel doporučuje žádat aktualizaci BIOSu či informace o statusu zařízení od výrobce, ideální by ale bylo, kdyby všichni výrobci vytvořili podobné stránky s přehledem dotčených produktů a odkazy, jako má Lenovo (viz odkaz výše).

Intel má chybu v čipsetech a CPU. Útočník může poškodit firmware a „bricknout“ desku

Ohodnoťte tento článek!
4.8 (95.56%) 18 hlas/ů

SOUVISEJÍCÍ ČLÁNKYVÍCE OD AUTORA

29 KOMENTÁŘE

  4. V posledni dobe se ty chyby rodi nejak casto, skoro by se dalo rict .. ‚made by Intel‘ :))
    Co je podle mne ale horsi je, ze ty veci nejsou opravovane tak, jak by clovek od firmy, ktera si zaklada na kvalite (aspon podle nekterych zde) ocekaval.
    Peace 😉

    • Dnesne CPU pri ich zlozitosti maju vela chyb(to plati aj o inom HW a SW). Nielen Intel je teraz viac tlaceny aby bol aktivnejsi v tejto oblasti.
      To nema sancu vsetko opravovat ani ta najvecsia firma na svete. Pri tomto ekonomickom modely to nejde. To by zisky poriadne klesli a akcionari by neboli spokojny. Pozri si aj na ine velke firmy, tiez maju spustu chyb. Ak chces mas nejaku istotu tak zaklad je pouzivat produkty od dvoch roznych firiem, kde o dost klesa sanca aby si mal problem na oboch sucasne.

    • Myslím, že to opravujou docela dobře a rychle, ale naráží to na rychlost/schopnost/ochotu výrobců desek a PC vydávat nové BIOSy. Myslím, že na 2-3 aktualizace všeho za poslední tři roky ani teoreticky nemají kapacity. Bylo by třeba, aby se co nejvíc kritických firmwarů dalo nahrávat při bootu třeba z ovladače, který Intel může distribuovat globálně přes OS a bez validace/zprostředkování pro každý jednotlivý model desky.

      • Tak to bylo celkove konstatovani. Opravy pro Meltdown/Spectre neprobehly zrovna ucebnicove, co si budeme nalhavat. Velkohuba vyjadreni typu.. ze budou mit 90% PC fixnuta nekdy v lednu..
        Ted ty problemy s Atomy, k tomu ten jejich slavny deravy IME, ktery ani poradne nezaplatuji.. myslim, ze toho je v posledni dobe docela dost a to vime jen o tom, co vyplavalo na povrch.

        • Možná by i měli, kdyby se nestala ta chyba. Jinak bacha, oni mluvili o tom, že udělají ten fix pro svoje procesory a ten mikrokód. Ne o tom, jak rychle to ti výrobci desek a PC pošlou dál. Stejně tak tady (nebo u těch chyb na straně AMD) se to bude protahovat na straně výrobců tím, jak musí ty firmwary předistribuovat a vydat pro XY produktů.