Procesory Intel mají od roku 2008 bezpečnostní díru, umožňující na dálku ovládnou počítač

33

Funkce Active Management Technology (AMT), umožňující u procesorů Intel vzdálenou správu počítače, je už asi poměrně známá. Zvlášť díky tomu, že se o ní mezi milovníky konspiračních teorií často mluví jako backdooru a šmírovacím prostředku přítomném v každém CPU Intelu. To je sice silně přehnané (až nesmyslné), nicméně tato technologii je skutečně určitým rizikem. Potvrdilo se totiž, že má své vlastní bezpečností chyby, které vystavují počítač riziku ovládnutí na dálku, navíc nedetekovatelnému operačním systémem či antivirem. Jedna taková chyba byla nyní odhalena ve všech procesorech Intel vyrobených od roku 2008 až dodnes – aktuální Kaby Lake z toho nevyjímaje.

Chyba se přesněji řečeno týká funkcí Active Management Technology, Intel Small Business Technology a Intel Standard Manageability. Umožňuje neautorizovanému útočníkovi po síti získat privilegovaný přístup do cílového počítače přes jeho rozhraní pro správu. To znamená, že nad ním získá moc, jelikož toto rozhraní slouží pro administrátorské činnosti. Jde tedy o vysoce kritickou bezpečnostní díru, neboť takovýto přístup by vždy měl být omezený jen na autorizované osoby. Spolu s tím má chyba ještě sekundární projev: lokálně přímo na počítači ji útočník nebo škodlivý program může zneužít k eskalaci svých práv, tedy aby se dostal administrátorskému přístupu či přímo k rozhraní pro správu, které může za jistých okolností být ještě privilegovanější.

Problém nepostihuje přímo procesory Intel, ale jejich čipové sady, v nichž je AMT implementováno jako součást subsystému Intel Management Engine (ME), taktéž kritizovanému z konspiračních, ale i serióznějších pozic (trnem v oku je například propagátorům otevřeného softwaru a hardwaru). ME je vlastně počítačem v počítači, má vlastní procesor s architekturou ARC a v novějších implementacích je nad hlavní CPU nadřazen – například může počítači znemožnit start, což se používá pro zablokování ukradených notebooků.

Intel Active Management Technology využívá subsystém Intel ME
Intel Active Management Technology využívá subsystém ME

ME má také přístup do hlavní operační paměti, běží pod úrovní normálního CPU a operačního systému (tj. z počítače do něj „nevidíte“). Může dokonce být aktivní a poslouchat i v době, kdy je PC vypnuté či uspané. Pokud je osazena síťová karta Intel, má přístup i k ní, což právě umožňuje, aby s ním bylo komunikováno na dálku, a nyní vinou této chyby jej také napadnout vzdáleným útokem.

Zranitelné jsou platformy Intel od roku 2008 až podnes

Zranitelnost technologie AMT se týká již počítačů s procesory generace Nehalem z roku 2008 a přetrvala ve všech následujících evolučních stupních až po současnost – jinými slovy je problém s každou generací CPU, která přišla od doby čipů Core 2 Duo/Quad. Intel přislíbil opravu, která však bude muset směřovat do firmwaru (BIOSu) subsystému ME. Tyto opravy BIOSů tedy dostanete od výrobce svého PC nebo základní desky, nikoliv přímo od Intelu. Zatím proto není jasné, zda se jí dočkají všechny postižené počítače, jelikož řada strojů už bude mimo dobu, po kterou je jejich výrobci podporovali. Ti pak asi nevydají potřebné aktualizace a budete mít smůlu. Opravený kód bude odlišen číslem verze u komponenty Intel Manageability Firmware, které bude mít v posledním čtyřčíslí na konci trojku – například 6.2.61.3535 (Nehalem), 11.6.27.3264 (Kaby Lake).

Pro běžné spotřebitele je zde dobrá zpráva: AMT a ostatní v úvodu zmíněné technologie pro správu jsou zapnuté jen na noteboocích a PC určených pro firemní trh, na spotřebitelských CPU a čipsetech ji Intel kvůli „segmentaci“ k dispozici nedává, navíc si výrobce ještě technologii musí zvlášť licencovat. Pokud tedy nemáte enterprise čipset řady Q, ale jen běžný (řady H, X, Z, P…), AMT aktivní nemáte a napadeni být nemůžete. Na druhou stranu, takové původně „enterprise“ počítače se mohou k běžným uživatelům dostat posléze z druhé ruky. Problém se vás tedy může týkat, pokud jste si pořídili repasovaný notebook jako Latitude, Thinkpad a tak dále, případně nějaký firemní desktop.

Zranitelné funkce AMT jsou obvykle dostupné jen na počítačích s technologiemi Intel vPro nebo Small Business Advantage

Každopádně platí, že pokud váš počítač nemá podporu pro Active Management, Small Business Technology nebo Standard Manageability, nemusíte se této chyby obávat, ohroženi jí nejste. Ačkoliv i i ve vašem počítači Intel ME běží, žádný útočník se k němu touto bezpečnostní dírou zvenčí dostat nemůže.

Než bude dostupná řádná oprava, je doporučeno Intel Active Management Technology a příbuzné funkce pro pro správu počítače deaktivovat v BIOSu počítače nebo notebooku, abyste jejich napadení po síti zabránili. Intel zveřejnil podrobnější návod, jak povypínat postižené technologie na počítačích, které opraveny nebudou, a také návod, jak si přítomnost zranitelnosti ověřit.

Procesory Intel mají od roku 2008 bezpečnostní díru, umožňující na dálku ovládnou počítač

Ohodnoťte tento článek!

33 KOMENTÁŘE

  1. Ano ano konspirační teorie jsou opět stavěny do světla nějakých nesmyslů, kterým věří jen nějací blázni… pak tu máme zároveň na tomto a dalším českém webu o technologiích články, jak nemáme věřit ruským propagandám alias alternativním pravdám a máme se vrátit k tzv. tradičním médiím, a jako podklad slouží právě jedno takové médium, zcela nezaujaté, čistá nezisková organizace, kterou nevlastní nikdo s jistými zájmy. Prostě bychom měli prosadit televizi povinně do každé domácnosti a nejméně 3 hodiny denně strávit u zpravodajství TV Hovna, ČT a dalších. To jsme to dopracovali. Ještě párkrát něco takové a cnews také vyškrtnu ze sledovaných webů.

    • Můj skromný osobní názor je, že dneska jsou právě ty „konspirační weby (youtube kanály, blogy, jiné drbny)“, které se lidem snaží něco cpát a oblbovat je. Jednak proto, že je to skvělej byznys (na rozdíl od těch tradičních médií, BTW, takže když za tím hledáte prachy… novinařina dá práci, repostovat fámy a výmýšlet si moc ne), jednak proto, že v tom dnes právě ta politická manipulace přesně jede ve velkém.

      BTW, když půjdete místo těch nenáviděníhodných tradičních médií radši tam, kde vám budou říkat jenom to, co se vám líbí a chcete od nich slyšet… je zrovna to dobrý indikátor toho, že je ta informace upřímná?

      • když ČT několikrát lhala a překrucuje pravdu. Když moderátoři usekávají opozici a sluníčkářům, havlistům a pražské kavárně dávají volný prostor, vám příjde normální a objektivní zpravodajství? Setkávám se v práci s lidmi a když od nich slyším, že politici nemají rádi Babiše jen proto že „mu závidí“ že on si to všechno poctivě vybudoval a když se jich zeptám odkud to mají, tak řeknou že to říkali v televizii. Nejlepší i někteří starší členové mé rodiny řeší problémy podle toho co se kde komu stalo v ordinaci v růžové zahradě a nebo v ulici. Takže jsem rád že jsou tady alternativné media, která vám ukážou jak se vybombardovaní syřané napovel lehnou a svíjí v bolestech a jakmile je reportáž hotova tak se zvednou a jdou pryč.

        • Crhous, ty by jsi jim mel fakt radit, jak to delat. Od piva (mozna v tvem pripade od slivky) to je jednoduche.. Zjisti si napred neco o Babisovi, nez zacnes tvrdit takove ptakoviny, jako, ze si Babis vsechno poctive vybudoval. Pokud tohle myslis vazne, tak tvoje naivita a hloupost hranici uz s tragedii. Jini politici jsou treba zkorumpovani, ale zdaleka nemaji takovu moc, jakou ziskava babis kombinaci kapitalu a politiky dohromady.

      • Honzo, neexistuje neco jako spravny web a konspiracni web. Existuji jen pravdive a nepravdive informace.

        Hacek je v tom poznat, co je pravdive a nepravdive. Zakladem je motto jakekoliv bezpecnosti – duvera je slovo, ktere se nepouziva. Neverit, nikdy, nikomu. Jediny spravny postup je vlastni analyza – sebrat informaci, ulozit, overit okamzite nebo casem. Sledovat kontext, zajmy, trendy.

        Proto nelze urcovat pravdivost informace jen podle toho, kdo ji podava. Behem plynouciho casu se treba ukaze, kdo lze a kdo ne. I v it to zname, ze, viz dd, tydiit. Ale nelze rict ze cokoliv tydiit napise je lez. (dd je vyjimka potvrzujici pravidlo 😉

        • No k DD bych hodně těch „alternativních zdrojů“ přirovnal 🙂 Tam je to dost jasné.
          Jinak problém s těma konspiracema je, že lidi k tomu nemají ten *paranoidní, ale rigorózní* přístup, tedy že by byly nedůvěřivý, ale nějak racionálně, hodnotili, analyzovali, čekali na nezávislé doklady, falsifikovali.

          Fanoušek konspiračních teorií chce spíš slyšet co nejsenzačnější věc a jediný hodnocení, co dělá, je spíš něco na způsob jestli to inkriminuje toho, komu fandí (-> lež, demagogie), nebo toho komu nefandí (-> pravda, kterou se lživá manipulativní média snaží schovat). Je to spíš o potvrzování/povzbuzování si vlastních názorů

          • Jenomze to neni jen „fanousek konspiracnich teorii“. V principu je to problem vsech lidi. Vetsina z tech, co si udela nejakou predstavu toho co je „spravne“ a „spatne“, tak pak vetsinou hleda v informacich potvrzeni sve predstavy. Informace, ktre jejich predstavu o pravde potvrzuji prijimaji, ty druhe automaticky neguji. Nemusime chodit daleko, i tady na tomhle webu je toho spousta 😀
            Dojit aspon castecneho pochopeni, ze pravda (pokud nejaka vubec je) neni jen cerna a bila a existuje vicero pohledu na jeden fakt, je uz docela zvlastni ukaz u jedince. S takovymi lidmi se pak da i diskutovat i presto, ze maji sve oblibene „pohledy na vec“.

  2. To víš, důchodci byli vždycky vic chytrý od bedny, ale jak se jich na něco někdo zeptal, tak neví 😉 Nejlepší je ovšem to neustálé stěžování si na něco a vlastně ani ve finále nevědí na co. Co čekat od člověka, co poslouchá výplach z TV Hovna a věří mu.