Удoбныe срeдствa удaлённoгo упрaвлeния спaсaют систeмным aдминистрaтoрaм мнoгo сил — и oднoврeмeннo прeдстaвляют сoбoй oгрoмную угрoзу бeзoпaснoсти в тoм случae, кoгдa иx нeльзя oтключить aппaрaтнo с пoмoщью джaмпeрa или — или пeрeключaтeля нa систeмнoй плaтe. Блoк Intel Management Engine 11 в сoврeмeнныx плaтфoрмax Intel прeдстaвляeт сoбoй имeннo тaкую oпaснoсть — изнaчaльнo oн нeoтключaeм и, бoлee тoгo, нa нeгo зaвязaны нeкoтoрыe мexaнизмы инициализации и функционирования процессора, в такой мере что грубая деактивация может упрощенно привести к полной неработоспособности системы. Чувствительность кроется в технологии Intel Active Management Technology (AMT) и близ удачной атаке позволяет обрести полный контроль над системой, о нежели было рассказано ещё в мае сего года. Но исследователям с Positive Technologies удалось урвать путь устранения угрозы.
Intel PCH
Собственноручно (делать) процессор IME является частью микросхемы системного хаба (PCH). Вслед за исключением процессорных слотов PCI Express, до сей поры общение системы с внешним сообща проходит именно через PCH, а из этого явствует, IME имеет доступ практически ко во всем данным. До версии 11 налет по этому вектору была маловероятна: сердце компьютера IME использовал собственную архитектуру с набором команд ARC, о которой было один-другой что известно сторонним разработчикам. Так в 11 версии с технологией сыграли плохую шутку: симпатия была переведена на архитектуру x86, а в качестве ОС применили доработанный MINIX, а чисто, сторонние исследования бинарного заключение существенно упростились: и архитектура, и ОС отменно документированы. Российским исследователям Дмитрию Склярову, Марку Ермолову и Максиму Горячему посчастливилось расшифровать исполняемые модули IME 11 версии и поднять меч их тщательное изучение.
Расшифрованное содержание IME
Технологии Intel AMT присвоена восприятие уязвимости 9,8 из 10 баллов. К сожалению, полное автоотключение IME на современных платформах зверс по вышеописанной причине — подсистема близко связана с инициализацией и запуском ЦП, а вдобавок управлением энергопотреблением. Но изо образа флеш-памяти, содержащего модули IME, не запрещается удалить всё лишнее, добро бы сделать это очень хитроумно, особенно в версии 11. Деятельно развивается проект me_cleaner, обслуживающая программа, позволяющая удалить общую кусок образа и оставить только животрепещуще необходимые компоненты. Но приведём небольшое сопоставление: если в версиях IME до 11 (поперед Skylake) утилита удаляла приземленно всё, оставляя примерно 90 Кбайт стих, то в настоящее время нуждаться сохранить около 650 Кбайт стих — и то в некоторых случаях политическое устройство может отключиться через получас, поскольку блок IME переходит в устав восстановления.
Статус IME после установки биток reserve_hap
Подвижки, однако, имеются. Вышеупомянутой группе исследователей посчастливилось воспользоваться комплектом разработчика, каковой предоставляется самой Intel и заключает в себя утилиты Flash Image Tool интересах настройки параметров IME и прошивальщик Flash Programming Tool, гегемонящий через встроенный SPI-контроллер. Intel невыгодный выкладывает эти программы в ясный доступ, но найти их в тенета не представляет особого труда.
Полученные с через этого комплекта XML-файлы были подвергнуты анализу (они содержат структуру прошивки IME и дефиниция механизма PCH strap). Один двоичная единица информации под названием «reserve_hap» (HAP) показался подозрительным изо-за описания «High Assurance Platform (HAP) enable». Разведывательная операция в сети показал, что сие название программы по созданию платформ высокой доверенности, связанная с АНБ США. Задействование сего бита показало, что сингония перешла в режим Alt Disable Mode. Секция IME не отвечал на команды и далеко не реагировал на воздействия изо операционной системы. Имеется и линия более тонких нюансов, которые допускается узнать в статье на Habrahabr.ru, так в новой версии me_cleaner уж реализована поддержка большей части опасных модулей минус установки бита HAP, что вводит лопата IME в состояние «TemporaryDisable».
Последняя разночтение me_cleaner умеет делать сие автоматически
Последняя модификация me_cleaner оставляет хоть в 11-ой версии IME всего модули RBE, KERNEL, SYSLIB и BUP, в них безграмотный найдено кода, позволяющего ввести саму систему IME. В дополнение к ним хоть использовать и бит HAP для полной уверенности, что-нибудь утилита также умеет готовить. Intel ознакомлена с результатами исследований и подтвердила, словно ряд настроек IME действительно связан с потребностями государственных организаций в средствах повышенной безопасности. Введены сии настройки были по просьбе правительственных клиентов США, они прошли ограниченную проверку и парадно такие конфигурации компанией Intel никак не поддерживаются. Компания также отрицает инъекция в свои продукты так называемых бэкдоров.
Литература:
