Rosjanie ujawniają ukryty tryb i błąd fabryczny w nowych procesorach Intela

Rosjanie ujawniają ukryty tryb i błąd fabryczny w nowych procesorach Intela

Positive Technologies, to rosyjska firma zajmująca się bezpieczeństwem, która odkryła już kilka błędów w Intel Management Engine (ME) na przestrzeni ostatnich lat. W tym tygodniu Rosjanie ujawnili więcej informacji o trybie Manufacturing Mode w ME, który jest obecny w niektórych procesorach Intela i może zostać wykorzystany zdalnie przez hackerów. Jest to już drugi ukryty i oficjalnie nieudokumentowany tryb w Intel ME, który odkryła rosyjska firma. Według Positive Technologies, tryb Manufacturing Mode w procesorach Intela jest przewidziany do konfiguracji i testowania chipów podczas produkcji. Tryb ten jednakże powinien być zablokowany przed wysyłką układów, z tego samego powodu, dla którego przed opuszczeniem fabryki wyłączany jest tryb debuggowania - nikt przecież nie chce, żeby hackerzy mieli do tego łatwy dostęp. Positive Technologies twierdzi jednak, że ten tryb fabryczny w Intel ME wcale nie został zablokowany w finalnych produktach, a przeciętny użytkownik nie jest w stanie tego zablokować, choćby z samego faktu, że nikt o tym nie wie (co jest oczywiste, skoro nie ma tego w dokumentacjach) i ponieważ nie ma oficjalnie narzędzi, które by pomogły w tym procesie. Z tego powodu żadne oprogramowanie, włączając w to nawet zaawansowane aplikacje pokazujące błędy w konfiguracji procesora z poziomu UEFI, nie są w stanie określić czy tryb fabryczny został wyłączony, czy też jest wciąż aktywny.

Intel zalicza kolejną poważną wpadkę. Błąd(?) fabryczny może pozwalać na zdalne przejęcie kontroli nad komputerem. 

Manufacturing Mode pozwala na konfigurację krytycznych obszarów platformy, takich jak BootGuard - technologii Intela, która weryfikuje proces bootowania. Opcje te są zgromadzone w zapisywalnej tylko raz pamięci (FUSE), a część z nich jest zwana Field Programmable Fuses (FPF). FPF jest wykorzystywane do gromadzenia parametrów platformy. Zapisywanie informacji w FPF wymaga, by Intel ME było w trybie fabrycznym Manufacturing Mode. Jest to proces dwuetapowy, podczas którego FPF jest najpierw zapisywane do pamięci tymczasowej, a następnie na stałe utrwalone, gdy zamykany zostaje tryb fabryczny. Jeśli jednak Manufacturing Mode nie zostanie zamknięte, oznacza to, że proces nie został zakończony, co pozwala hackerom nadpisać FPF i przejąć w ten sposób kontrolę nad platformą. W ten sposób hackerzy mogą ustawić swoje własne wartości w BootGuard i innych opcjach zabezpieczeń. Platforma Intela automatycznie załaduje wtedy kod wgrany przez hackerów, niezależnie od czynności jakie podejmie użytkownik by chronić swój komputer przed Malware. Co więcej, jeśli hackerzy ukończą proces FPF, kod ten nie będzie mógł być już nigdy usunięty. Pracownicy Positive Technologies uważają, że wszystkie nowsze procesory Intela mają tryb fabryczny włączony, wliczając w to Apollo Lake, Gemini Lake i Cannon Lake, narażając użytkownika na ryzyko, ponieważ atakujący mogą nie tylko kontrolować proces uruchamiania, ale również wykraść klucze OEM, które są wykorzystywane do podpisywania różnego oprogramowania w danej maszynie.

Rosjanie podkreślają, że Intel ME było wcześniej zlokalizowane w oddzielnej pamięci flash SPI, która miała niezależne prawa dostępowe do CPU i ME, co sprawiało, że nie było możliwe odczytanie i zapisanie ME od strony CPU. Intel zmienił to jednak w ostatnich platformach, przedstawiając mechanizm nadrzędnego dostępu, który kontroluje specjalny region SPI oraz może nadać CPU dostęp do regionów ME, do których normalnie nie byłoby uprawnień. Intel chciał sobie uprościć proces aktualizacji ME, jednocześnie sprawiając, że łatwiej jest przejąć hackerom kontrolę nad CPU. Rosjanie odkryli również, że procesory Intela dostarczane do laptopów Apple są podatne na to zagrożenie, jednak po zgłoszeniu tego do producenta, zagrożenie wyeliminowano wraz z macOS High Sierra 10.13.5. Rzekomo również laptopy Lenovo Yoga i ThinkPad mają ten tryb domyślnie wyłączony. Rosjanie z Positive Technologies jako pierwsi poinformowali również o odkryciu innego nieudokumentowanego trybu High Assurance Platform (HAP), który został przez Intela opracowany dla NSA. Intel ME często jest krytykowane przez aktywistów zajmujących się prywatnością. Technologii zarzucane jest, że jest potencjalnym backdoorem i stanowi niebezpieczeństwo dla użytkowników.

Komentarze do: Rosjanie ujawniają ukryty tryb i błąd fabryczny w nowych procesorach Intela