Intel opravil 9 let starou bezpečnostní chybu ve vPro, o níž prý věděl
3.5.2017, Jan Vítek, aktualita
Intel teprve v těchto dnech vypouští do světa bezpečnostní aktualizaci firmwaru svých procesorů s podporou vPro, která se týká problémů starého devět let. Umožňovala útočníkovi využít na cílovém počítači technologie AMT, ISM a SBT.
Chyba se tak má týkat všech procesorů Intel zaměřených na podnikové počítače, které disponují technologií vPro a jejími Active Management Technology (AMT), Intel Standard Manageability (ISM) a Small Business Technology (SBT). Ty mohly být zneužity kýmkoliv pomocí softwaru Metasploit, přičemž na cílovém počítači musel být pouze otevřen port 16992.
Intel tak teprve nyní vydává nové verze firmwarů, které mají nahradit staré verze 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 a 11.6 využívané první až aktuálně sedmou generací procesorů Core, jež umožnily případnému útočníkovi "převzít kontrolu nad funkcemi pro správu nabízenými těmito produkty", čili AMT, ISM a SBT. Intel k tomu nezapomněl dodat, že běžných procesorů se tento problém netýká, ale to je zřejmé i bez jeho ujištění.
Nyní je nasnadě otázka, jak je možné, že tuto devět let starou chybu Intel dosud neřešil? Ten si už vysloužil kritiku od Charlieho Demerjiana ze SemiAccurate, který uvádí, že o této chybě sám věděl už pět let a v jejich průběhu o ní debatoval s řadou lidí z Intelu včetně vysoce postavených pracovníků, a to evidentně bez výsledku. Rozhodl se ale o ní sám veřejně nemluvit, neboť by tak pouze přispěl k jejímu zneužití, což se ostatně aktuálně i tak má dít. Pokud je to pravda, pak je naprosto nepochopitelné, že Intel s touto chybou nic nedělal a dál vesele vysílal na trh nové a nové procesorové generace, jež si ji přenášely mezi sebou.
V každém případě je jisté, že jde o dlouhých devět let starý problém, pro který ale neexistuje rychlé a univerzální řešení. Intel pouze vydal nové firmwary, na něž budou muset (či spíše moci) reagovat výrobci základních desek a počítačů a přijít s novými firmwary/BIOSy, za což Intelu jistě velice pěkně poděkují. Jde navíc o to, že mnoho základních desek, které jsou ještě v provozu, už nejsou výrobci aktivně podporovány a nejspíše se nových verzí BIOSu ani nedočkají. Vedle toho by ale mělo stačit prostě zavřít port 16992 nebo využít Intel-SA-00075 Mitigation Guide, kde je popsáno, jak si můžeme pomoci do té doby, než dorazí opravný BIOS. To v podstatě spočívá v deaktivaci ohrožených technologií.
Lenovo již stačilo na tento problém reagovat a přišlo se seznamem ohrožených počítačů a s předpokládanou dostupností oprav.
Zdroj: SemiAccurate
Intel tak teprve nyní vydává nové verze firmwarů, které mají nahradit staré verze 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 a 11.6 využívané první až aktuálně sedmou generací procesorů Core, jež umožnily případnému útočníkovi "převzít kontrolu nad funkcemi pro správu nabízenými těmito produkty", čili AMT, ISM a SBT. Intel k tomu nezapomněl dodat, že běžných procesorů se tento problém netýká, ale to je zřejmé i bez jeho ujištění.
Nyní je nasnadě otázka, jak je možné, že tuto devět let starou chybu Intel dosud neřešil? Ten si už vysloužil kritiku od Charlieho Demerjiana ze SemiAccurate, který uvádí, že o této chybě sám věděl už pět let a v jejich průběhu o ní debatoval s řadou lidí z Intelu včetně vysoce postavených pracovníků, a to evidentně bez výsledku. Rozhodl se ale o ní sám veřejně nemluvit, neboť by tak pouze přispěl k jejímu zneužití, což se ostatně aktuálně i tak má dít. Pokud je to pravda, pak je naprosto nepochopitelné, že Intel s touto chybou nic nedělal a dál vesele vysílal na trh nové a nové procesorové generace, jež si ji přenášely mezi sebou.
V každém případě je jisté, že jde o dlouhých devět let starý problém, pro který ale neexistuje rychlé a univerzální řešení. Intel pouze vydal nové firmwary, na něž budou muset (či spíše moci) reagovat výrobci základních desek a počítačů a přijít s novými firmwary/BIOSy, za což Intelu jistě velice pěkně poděkují. Jde navíc o to, že mnoho základních desek, které jsou ještě v provozu, už nejsou výrobci aktivně podporovány a nejspíše se nových verzí BIOSu ani nedočkají. Vedle toho by ale mělo stačit prostě zavřít port 16992 nebo využít Intel-SA-00075 Mitigation Guide, kde je popsáno, jak si můžeme pomoci do té doby, než dorazí opravný BIOS. To v podstatě spočívá v deaktivaci ohrožených technologií.
| Firmware s chybou | Generace procesorů Core | Nový firmware |
| 6.0.xx.xxxx | 1st Gen Core | 6.2.61.3535 |
| 6.1.xx.xxxx | 6.2.61.3535 | |
| 6.2.xx.xxxx | 6.2.61.3535 | |
| 7.0.xx.xxxx | 2nd Gen Core | 7.1.91.3272 |
| 7.1.xx.xxxx | 7.1.91.3272 | |
| 8.0.xx.xxxx | 3rd Gen Core | 8.1.71.3608 |
| 8.1.xx.xxxx | 8.1.71.3608 | |
| 9.0.xx.xxxx | 4th Gen Core | 9.1.41.3024 |
| 9.1.xx.xxxx | 9.1.41.3024 | |
| 9.5.xx.xxxx | 9.5.61.3012 | |
| 10.0.xx.xxxx | 5th Gen Core | 10.0.55.3000 |
| 11.0.xx.xxxx | 6th Gen Core | 11.0.25.3001 |
| 11.5.xx.xxxx | 7th Gen Core | 11.6.27.3264 |
| 11.6.xx.xxxx | 11.6.27.3264 |
Lenovo již stačilo na tento problém reagovat a přišlo se seznamem ohrožených počítačů a s předpokládanou dostupností oprav.
Zdroj: SemiAccurate
