Az Intel Management Engine kifejtette a kis számítógépet a CPU-ban
Az Intel Management Engine 2008 óta szerepel az Intel chipsetekben. Ez alapvetően egy apró számítógép-a-számítógép, teljes hozzáféréssel a számítógép memóriájához, kijelzőjéhez, hálózatához és bemeneti eszközeihez. Az Intel által írt kódot, és az Intel nem osztott sok információt a belső működéséről.
Ez a szoftver, más néven Intel ME, megjelent a hírekben, mivel az Intel által bejelentett biztonsági lyukak 2017. november 20-án jelentek meg. Ez a szoftver mély rendszer-hozzáférése és jelenléte minden modern rendszerben egy Intel processzorral azt jelenti, hogy ez egy lédús célpont a támadók számára.
Mi az Intel ME?
Tehát mi is az Intel Management Engine? Az Intel néhány általános információt tartalmaz, de elkerülik az Intel Management Engine által elvégzett konkrét feladatok többségének magyarázatát, és pontosan hogyan működik.
Ahogy az Intel azt állítja, a Management Engine „egy kis, kis teljesítményű számítógép alrendszer”. „Különböző feladatokat lát el a rendszer alvás közben, a rendszerindítás során és a rendszer futtatásakor”.
Más szóval, ez egy párhuzamos operációs rendszer, amely egy elszigetelt chipen fut, de hozzáférést biztosít a számítógép hardveréhez. Ez akkor fut, amikor a számítógép alszik, miközben elindul, és amíg az operációs rendszer fut. Teljes hozzáférést biztosít a rendszer hardveréhez, beleértve a rendszer memóriáját, a kijelző tartalmát, a billentyűzet bemenetét és még a hálózatot is.
Most már tudjuk, hogy az Intel Management Engine egy MINIX operációs rendszert futtat. Ezen túlmenően az Intel Management Engine-ben futó pontos szoftver ismeretlen. Ez egy kis fekete doboz, és csak az Intel tudja pontosan, mi van benne.
Mi az Intel Active Management Technology (AMT)?
A különböző alacsony szintű funkciók mellett az Intel Management Engine Intel Active Management technológiát is tartalmaz. Az AMT egy távoli felügyeleti megoldás az Intel processzorokkal rendelkező szerverek, asztali számítógépek, laptopok és tabletták számára. Nagy szervezeteknek, nem otthoni felhasználóknak készült. Alapértelmezés szerint nincs engedélyezve, így ez nem igazán „hátsó ajtó”, ahogy ezt néhányan hívják.
Az AMT az Intel processzorokkal rendelkező számítógépek távoli bekapcsolására, konfigurálására, vezérlésére vagy törlésére használható. A tipikus kezelési megoldásoktól eltérően ez akkor is működik, ha a számítógép nem fut operációs rendszert. Az Intel AMT az Intel Management Engine részeként fut, így a szervezetek távolról kezelhetik a Windows operációs rendszer nélküli rendszereket.
2017 májusában az Intel távoli kihasználtságot jelentett be az AMT-ben, amely lehetővé tenné a támadók számára, hogy a szükséges jelszó megadása nélkül hozzáférjenek az AMT-hez a számítógépen. Ez azonban csak azokat az embereket érinti, akik elmentek az Intel AMT engedélyezésére, ami ismét nem a legtöbb otthoni felhasználó. Csak azoknak a szervezeteknek kellett aggódniuk, akik az AMT-t használták, és frissíteniük kell a számítógépek firmware-jét.
Ez a funkció csak PC-kre vonatkozik. Míg az Intel CPU-val rendelkező modern Mac-eknek az Intel ME-je van, ezek nem tartalmazzák az Intel AMT-t.
Letilthatja azt?
Nem lehet letiltani az Intel ME-t. Még akkor is, ha letiltja az Intel AMT funkcióit a rendszer BIOS-ban, az Intel ME processzor és a szoftver továbbra is aktív és fut. Ezen a ponton az összes Intel CPU-val ellátott rendszer tartalmazza, és az Intel semmilyen módon nem tudja letiltani azt.
Míg az Intel semmilyen módon nem tudja letiltani az Intel ME-t, más emberek kísérleteztek a letiltásával. Ez azonban nem olyan egyszerű, mint egy kapcsoló megcsúszása. A vállalkozó hackerek meglehetősen kis erőfeszítéssel sikerült letiltaniuk az Intel ME-t, és a Purizmus mostantól az Intel Management Engine alapértelmezés szerint le van tiltva laptopok (régebbi Intel hardverek alapján). Az Intel valószínűleg nem örül ezeknek az erőfeszítéseknek, és még nehezebbé teszi az Intel ME letiltását a jövőben.
De az átlagos felhasználó számára az Intel ME letiltása alapvetően lehetetlen, és ez a tervezés miatt.
Miért a titoktartás?
Az Intel nem akarja, hogy a versenytársak megismerjék a Management Engine szoftver pontos működését. Úgy tűnik, hogy az Intel magában foglalja a „bizonytalanságot” is, megpróbálva megnehezíteni a támadók számára, hogy megtudják, és találjanak lyukakat az Intel ME szoftverben. Ahogyan azonban a legutóbbi biztonsági lyukak mutatják, a bizonytalanság által biztosított biztonság nem garantált megoldás.
Ez nem egyfajta kémkedés vagy felügyeleti szoftver, kivéve, ha egy szervezet engedélyezte az AMT-t, és saját PC-jének megfigyelésére használja. Ha az Intel Management Engine más helyzetekben is kapcsolatba lépett a hálózattal, valószínűleg a Wireshark eszközei révén hallottunk róla, ami lehetővé teszi az emberek számára, hogy figyelemmel kísérjék a hálózat forgalmát.
Azonban olyan szoftverek, mint például az Intel ME, amelyek nem tilthatók le és nem zárhatók be, minden bizonnyal biztonsági probléma. Ez egy újabb támadási út, és már láttuk a biztonsági lyukakat az Intel ME-ben.
A számítógép Intel ME biztonsági rése?
2017. november 20-án az Intel komoly biztonsági lyukakat jelentett be az Intel ME-ben, amelyeket harmadik fél biztonsági kutatói fedeztek fel. Ezek magukban foglalják mind a hibákat, amelyek lehetővé teszik a helyi hozzáféréssel rendelkező támadók számára a teljes rendszer-hozzáféréssel rendelkező kód futtatását, és a távoli támadásokat, amelyek lehetővé teszik, hogy a támadók távoli hozzáféréssel rendelkezzenek, és teljes rendszerű hozzáférést fussanak. Nem világos, hogy mennyire nehézkessé válnak kihasználni.
Az Intel olyan érzékelőeszközt kínál, amelyet letölthet és futtathat, hogy megtudja, hogy a számítógép Intel ME-je sérülékeny-e, vagy rögzítették.
Az eszköz használatához töltse le a ZIP-fájlt a Windows-hoz, nyissa meg, és kattintson duplán a „DiscoveryTool.GUI” mappára. Kattintson duplán az „Intel-SA-00086-GUI.exe” fájlra. Egyetértek az UAC parancssorával, és megmondják, hogy a számítógép sérülékeny-e vagy sem.
Ha a számítógép sérülékeny, akkor az Intel ME-t csak a számítógép UEFI firmware frissítésével frissítheti. A számítógép gyártójának biztosítania kell Önnek ezt a frissítést, ezért ellenőrizze a gyártó webhelyének Támogatás részében, hogy van-e elérhető UEFI vagy BIOS frissítés.
Az Intel egy támogatási oldalt is tartalmaz, amely a különböző PC-gyártók által nyújtott frissítésekre vonatkozó hivatkozásokkal rendelkezik, és frissítik, ahogy a gyártók a támogatási információkat kiadják.
Az AMD rendszernek van valami hasonló neve AMD TrustZone-nak, amely egy dedikált ARM processzoron fut.
Képhitel: Laura Houser.