Ostatně, když chyby v Management Engine přetrvávaly celé roky, tak několik dalších měsíců už asi nikoho nezabije. Během nich však proběhla také hloubková analýza, která měla odhalit několik chyb a zranitelných míst jak v Management Engine (ME), tak ve Trusted Execution Engine (TXE) a Server Platform Services (SPS). Problémů je celkem osm a všechny se dotýkají jádrových procesorových technologií, pro což Intel připravil opravné firmwary. Ty ale pochopitelně nebudou automaticky hned a všude dostupné, neboť jejich instalaci si už musí zařídit správci počítačů sami, takže mnoho počítačů nebude záplatováno vůbec.
A krom toho všeho, Intel Management Engine vzbuzuje obavy i v tom ohledu, že jde o nezávislý stroj běžící přímo v našich procesorech na OS MINIX. K němu majitel počítače nemá žádný přístup, a tak ani nevíme, k čemu mu vůbec slouží třeba webový server. V každém případě, Intel ME má přístup ke všem datům na našich discích, k síti i k připojeným USB zařízením. Pokud tak Intel chce, může si s našimi počítači dělat co jej napadne.
Pokud si spojíme tyto dvě věci, pak nám vyjde opravdu velká bezpečnostní hrozba. Útočníci se totiž mohou přes Intel ME dostat k datům počítače způsobem, který je pro hlavní OS, a tedy i pro uživatele, naprosto nezjistitelný a útok by šel zaznamenat spíše jen sledováním síťového provozu mezi napadeným počítačem a venkovní sítí.
Intel sám potvrdil, že dané chyby mohly být využity třeba pro instalaci rootkitů na napadené systémy, spouštění kódu nezjistitelným způsobem a zvláště ME byl a je také náchylný pro vyvolání přetečení bufferu, což je využitelné třeba pro lokální i vzdálené spouštění kódu. Zkrátka a špatně, kvůli daným chybám mohl útočník získat neautorizovaný přístup k počítačím chráněným pomocí Intel ME, SPS a TXE, což se týká konkrétně verze ME 11.0/11.5/11.6/11.7/11.10/11.20, SPS 4.0 a TXE 3.0. Pro lepší přehled jde o následující procesorové rodiny (dříve se uvádělo, že mezi ně patří i vůbec první Core):
- 6. až 8. generace Intel Core
- Intel Xeon Processor E3-1200 v5 & v6
- Intel Xeon Processor Scalable
- Intel Xeon Processor W
- Intel Atom C3000
- Apollo Lake Intel Atom Processor E3900 series
- Apollo Lake Intel Pentium
- Celeron série N a J
Intel připravil také nástroj, pomocí nějž zjistíme, zda je náš systém některou z daných chyb postižen. Dále své zákazníky vyzývá k tomu, aby sledovali stránky výrobce svého počítače či desky a čekali na aktualizace firmwaru, ovšem do této doby je mělo připravit jen Lenovo, které je chce vypustit zítra, i když další firmy se mohou každou chvíli přidat.
Pak tu máme také vyjádření bezpečnostního experta firmy Google, Mathewa Garretta, dle nějž bude v případě napadení systémů tímto způsobem pro řadu firem levnějším řešením koupě nového hardwaru.
If that happens? Only remediation path is to re-flash SPI by hand, because every internal root of trust is now under the control of the attacker. Probably cheaper for most companies to buy new hardware instead.
— Matthew Garrett (@mjg59) 20. listopadu 2017
Čili ano, integrované procesory v CPU Intel skutečně jsou pádný důvod k obavám.
Zdroj: wccftech
