O motor de administração da Intel é quebrado?
A legislação de manchetes de Betteridge, “qualquer manchete que termina em uma marca de preocupação pode ser respondida pela palavra não”. Esta legislação continua inatacável. No entanto, recentes declaram chamado preocupação com uma caixa preta escondida profundamente dentro de cada chipset Intel criado na última década.
Ontem, no blog de semiacaçados, [Charlie Demerjian] anunciou uma Remota Exploração para o Intel Administration Engine (ME). Esta exploração abrange todas as plataformas Intel com a inovação de administração ativa (AMT) enviada considerando que 2008. Esta é uma pequena parte de todos os sistemas que executam chipsets Intel, bem como até mesmo o Remote Explorit só funcionará se a AMT estiver ativada. [Demerjian] também anunciou a existência de uma exploração regional.
Intel é eu, bem como a AMT explicada
Começando em 2005, a Intel começou a incluir a inovação de administração ativa em controladores Ethernet. Este sistema é com sucesso um firewall, bem como uma ferramenta utilizada para apresentar laptops, bem como desktops em um ambiente de negócios. Em 2008, foi adicionado um novo coprocessador – o mecanismo de administração – foi adicionado. Este mecanismo de administração é um processador vinculado a todos os periféricos em um sistema. O ME tem acesso total para toda a memória de um computador, conexões de rede, bem como todos os periféricos ligados a um computador. O ME é executado quando o computador está hibernando, bem como pode interceptar tráfego TCP / IP. O mecanismo de administração pode ser utilizado para inicializar um computador em uma rede, configurar um novo sistema operacional, bem como pode desativar um PC se ele não conseguir inspecionar um servidor em algum intervalo predeterminado. De um ponto de vista de segurança, se você possui o mecanismo de administração, você possui o computador, bem como todos os dados contidos.
O mecanismo de administração, bem como a tecnologia de administração ativa, acabou sendo um foco de pesquisadores de segurança. O pesquisador que descobre uma exploração que permite que um atacante ganhe o acesso ao eu acabará sendo o maior pesquisador da década. Quando esta exploração é descoberta, um bilhão de dólares no estoque Intel evaporará. Felizmente, ou infelizmente, dependendo exatamente como você olha, o mecanismo de gerenciamento é um segredo cuidadosamente guardado, é baseado em uma arquitetura estranha, bem como o rom Chip para o ME é uma caixa preta. Nada curto de espionagem de negócios ou verificar o padrão de bits no silício lhe dirá qualquer coisa. O mecanismo de administração da Intel, bem como a tecnologia de administração ativa, é seguro com a obscuridade, sim, no entanto, até agora, tem sido seguro por uma década, sendo uma meta para os melhores pesquisadores do planeta.
Reivindicação da semiacagem
No post do blog de ontem, [Demerjian] relatou a existência de duas façanhas. O primeiro é um buraco de segurança remotamente explorável no firmware de mim. Essa exploração impacta todos os chipset Intel realizados nos últimos dez anos com a inovação de administração ativa a bordo, bem como ativada. É crucial notar que esta exploração remota só impacta uma pequena parte dos sistemas gerais.
A segunda exploração relatada pelo blog de semiacaçados é uma exploração regional que não precisa ser ativa, no entanto, precisa de o serviço de gerenciamento regional da Intel (LMS) a ser executado. Este é apenas mais um método que o acesso físico é igual a acesso à raiz. A partir dos poucos detalhes [Demerjian] compartilhados, a exploração regional impacta uma década de chipsets Intel, no entanto, não remotamente. Este é apenas um cenário mais malvado da casa.
Você deve se preocupar?
Este hacker não é capaz de explorar a mim, mesmo que ele esteja utilizando uma balaclava de três buracos.
O maior perigo de segurança de rede hoje é uma exploração de execução de código remoto para o mecanismo de administração da Intel. Cada computador com um chipset Intel criado na última década seria propenso a essa exploração, bem como a RCE forneceria um atacante completo gerenciar sobre cada elemento de um sistema. Se você quiser uma metáfora, somos dinossauros, bem como uma exploração da Intel Me é um afteróide em direção à península de Yucatán.
No entanto, [Demerjian] não fornece detalhes sobre a exploração (corretamente assim), bem como a Intel lançou um consultor informativo: “Essa vulnerabilidade não existe em PCs de consumo baseados na Intel”. De acordo com a Intel, esta exploração só impulsionará sistemas Intel que enviam com AMT, bem como têm AMT ativado. A exploração regional funciona apenas se um sistema estiver executando o LMS da Intel.
Esta exploração – não importa o que seja, como não há prova de ideia ainda – apenas funciona se você estiver utilizando o motor de administração da Intel, bem como a inovação de administração ativa, como pretendido. Ou seja, se um Guru pode reinstalar o Windows em seu laptop remotamente, este explorador se aplica a você. Se você nunca ouviu falar dessa capacidade, provavelmente é bem.
Ainda assim, com uma exploração de tal magnitude, é inteligente inspecionar para os patches para o seu sistema. Se o seu sistema não tiver tecnologia de administração ativa, você está bem. Se o seu sistema tiver amt, mas você nunca o transformou, você está bem. Se você não está correndo lmT, você está bem. A Me Intel pode ser neutralizada se você estiver utilizando um chipset suficientemente antigo. Este não é o fim do mundo, no entanto, proporciona aos especialistas em segurança, enfrentando a inovação da Intel nos últimos anos a chance de dizer: ‘Disse’ ya so ‘.