V systému Intel ME je řada bezpečnostních děr, miliony PC potřebují aktualizace BIOSu

9

V letošním roce se už několikrát dostal na přetřes subsystém Intel Management Engine, což je skrytá řídící jednotka procesorů Intel a celé jejich platformy, která se zároveň dá používat pro vzdálenou správu a podobné možnosti – a je trnem v oku řadě lidí kvůli uzavřenosti a potenciálu pro bezpečnostní hrozby. A zranitelnosti v ní nyní skutečně byly nalezeny, a to zřejmě docela kritické. Umožňují dokonce i vzdálené kompromitování ME, které vzhledem k privilegovanosti tohoto subsytému znamená ovládnutí celého počítače se ztíženou možností takové napadení odhalit. Čeká nás tedy aktualizace firmwarů u velkého množství počítačů, notebooků i serverů s procesory Intel.

Problém má spočívat v sérii různých zranitelností (označených kódem SA-00086) napříč firmwarem systému IME, které nalezli analytici z bezpečnostní firmy Positive Technologies – titíž, kteří před nedávnem publikovali analýzu struktury tohoto systému a možné cesty, jak ho deaktivovat. Tyto chyby obnášejí tzv. zranitelnosti typu „privilege escalation“ (kdy selhává systém přístupových oprávnění a útočník dostane pod kontrolu něco, co mu nemá být povoleno) a dále vícero chyb typu buffer overflow, které při zneužití dovolují útočníkovi propašovat a spustit v rámci IME vlastní kód, což umožňuje kompletní „kompromitování“ systému.

Vzdálené ovládnutí nebo únik citlivých dat

Dopad chyb se projevuje nejen v Intel Management Enginu, ale také v na něm postavené Intel Active Management Technology pro vzdálenou správu korporátních PC s funkcemi vPro, Trusted Execution Technology a v technologii Server Platform Services. Zranitelnosti jsou to poměrně kritické (i když Intel je označuje jen za „Important“) a celkově jde asi o větší incident než byla na jaře hlášená zranitelnost AMT. Některé umožňují podstrčení a spuštění nepodepsaného kódu v privilegovaném prostředí IME, což normálně nemá být možné, pokud má útočník lokální nebo vzdálený administrátorský přístup. Tento kód pak může sloužit jako rootkit uvnitř IME, kde není detekovatelný z prostředí operačního softwaru, jelikož IME má vyšší privilegia.

Kromě ovládnutí stroje může útočník také způsobit nestabilitu. Rovněž velmi nebezpečné je další riziko těchto chyb. Zřejmě i neprivilegované procesy a uživatelé mohou napadnutím některých těchto zranitelností přečíst citlivé informace, které jsou v IME uložené a mají být mimo dosah nepovolaného softwaru. Z IME lze takto dostat třeba certifikáty a šifrovací klíče uložené v implementaci TPM, která je v IME obsažená (tzv. „firmware-based trusted platform module“). Zatímco první část chyb má určitou zábranu v tom, že útočník musí nejdříve získat privilegovaný přístup, než je zneužije (takže při dobrém zajištění systému se mu můžete ubránit), zde je zřejmě díra rovnou otevřená neprivilegovaným procesům. Pokud vás jinak tyto chyby zajímají více, sledujte program konference Black Hat Europe 2017 příští týden. Výzkumníci z Positive Technologies by na ní měli nálezy prezentovat.

Informace Intelu k bezpečnostním chybám v Intel Management Engine
Informace Intelu k bezpečnostním chybám v Intel Management Engine

Postižené jsou architektury Skylake, Goldmont a novější

Tyto zranitelnosti byly objeveny ve verzích Intel Management Enginu, které jsou založené na operačním systému Minix. Ty se nacházejí v procesorech až od roku 2015, takže postižené jsou počítače založené na CPU Skylake, Kaby Lake a Coffee Lake, serverová Skylake-SP (včetně Skylake-X a Xeonů W). Ale také procesory založené na jádrech Goldmont, tedy Atomy, Celerony a Pentia Apollo Lake a rovněž také nové serverové Atomy C3000 (Centerton).

intel-atom-c3000-procesor-denvertonTyto konkrétní bezpečnostní hrozby tudíž neplatí pro čipy architektur Haswell a starší nebo Atomy/Celerony/Pentia Braswell a Cherry Trail a starších, neboť ty mají zcela jiný firmware. Ovšem i v nich by se mohly skrývat podobné chyby např. typu buffer overflow. Výzkumníci z Positive Research uvádějí, že nová generace IME založená na Minixu a procesorových jádrech x86 je mnohem snáze analyzovatelná a debugovatelná (do Haswellu se používal esoteričtější RTOS ThreadX a instrukční sada ARC). Méně známých zranitelností ve starším IME může být čistě tím, že dá větší námahu je odhalit.

Výrobci budou muset aktualizovat stovky modelů PC či desek

Bohužel se zdá, že tentokrát nejde jen o chyby postihující čistě korporátní PC s aktivními (příplatkovými) funkcemi pro vzdálenou správu. Například seznam postižených PC od Aceru obsahuje i běžné spotřebitelské systémy, takže minimálně část zranitelností je exponována útočníkům i na nich. Zda je váš konkrétní počítač ohrožen, by vám měla říci tato utilita od Intelu, otestovat můžete stroje s Windows a Linuxem (linuxová verze je skript, vyžadující nainstalovaný Python 2).

Tyto díry bude třeba na všech postižených strojích zalátat aktualizacemi firmwaru pro dané subsystémy Intel Management Enginu (a třeba asi budou také nové ovladače pro něj). Aktualizace firmwaru se k vám dostanou prostřednictvím výrobce notebooku, počítače, základní desky či serveru, budete tedy muset čekat na to, až se mu podaří novou verzi vydat. Vzhledem k tomu, že postiženo je velké množství systémů, toto může trvat týdny až měsíce, některé počítače zřejmě budou opraveny až po novém roce (na druhou stranu Gigabyte by snad měl mít venku aktualizace pro pár desek pro procesory Coffee Lake a Kaby Lake s čipsety generace 300 a 200 už teď). Vzhledem k závažnosti těchto děr a možnosti, že se v nich malware „schová“ a nebude detekovatelný vaším antivirem, důrazně doporučujeme, abyste tyto aktualizace firmwaru manuálně nainstalovali, až pro vaše PC či notebook vyjdou. Nové BIOSy vám totiž bohužel automatické aktualizace v rámci Windows samy nedoručí. A uděláte dobrý skutek, pokud v rámci možností pomůžete aktualizovat i méně zdatným uživatelům mezi svými známými a rodinou.

V systému Intel ME je řada bezpečnostních děr, miliony PC potřebují aktualizace BIOSu

Ohodnoťte tento článek!
5 (100%) 1 hlas/ů

9 KOMENTÁŘE

    • Díky za upozornění. Ta přídavná jména mě docela překvapila, teda s češtinou mám docela zkušenosti, ale nevím, jestli jsem tohle někdy vůbec věděl/viděl. Přijde mi, že se to už ale striktně nedodržuje a rozdíl se smazává (aspoň podle Googlu, protože když hledám, tak řídící jednotka je mnohem častější než řídicí jednotka). Možná, že to lidi přestali používat a cítit. Třeba jako s tím problémem „budu se soustředit /budu se soustřeďovat“, což třeba tátovi údajně trhá uši, ale já to už vůbec necítím.

        • No ono sloveso soustředit se je dokonavé gramaticky. Ale podle smyslu? Podle smyslu, když říkám že budu se soustředit ve smyslu mentálně (nebo jinak) koncentrovat na nějakou činnost po nějaký čas, tak je to logicky nedokonavé. Takže já se vůbec nedivím, že lidi říkají budu se soustředit. To, že sloveso koncentrovat se je nedokonavé, ač je synonymem, taky o něčem svědčí. Ta dokonavost toho slovesa soustředit totiž asi je určená pro jiný smysl (soustředit vojsko na konkrétní pozici – nejdřív tam nebylo, po ději tam už je, změna stavu), pokud bych měl tipovat.

    • Antivir ti nepomuze, pokud nekdo prijde na to, jak s do ME nebo te AMD Trustzone nabourat po siti jeste predtim nez se to vubec do OS dostane, nebo fyzicky treba preprogramovanou flashkou.
      Na tohle je jedinej lek, mit moznost to vypnout jumperem, pokud to tam vubec musi byt.
      Symantec sice psal neco o tom, ze ke zneuziti muze dojit pouze pokud je technologie present and configured, cimz narazi na to, ze se to tyka jen systemu s plnym vPro, ale buhvi jak je to v realu, kdyz je to blackbox.

    • V PC není k ničemu, ale umíš si představit co by ti vývojáři asi tak dělali užitečného, kdyby nevyráběli antiviry? Já ne 😀 Radši ať dělají něco co k ničemu není, ale pořád se najdou loulové kteří to budou kupovat, než aby začali dělat něco co k něčemu je a dopadlo by to třeba jako s Windows 10 😀

  1. Tak jsem koukl do Správce zařízení na svém noťasu s procesorem Kaby Lake a hele, je tam položka System firmware, ovladač verze 1.0.6. Tak jsem zkusil automatický update ovladače, něco se našlo a naflešovalo se to do BIOSu. Teď je tam verze 2.0.3.

    Takže si teď můžu myslet, že tam mám místo původního Minixu v1 už Minix v2. 🙂