사실 2 주 전이 연구원은 시스템에서 허점을 책임감있게 발견 한 인텔에 감사의 말을 전했고 그동안 Chipzilla는 10 가지 취약점 주의 사항, 경고 관련 취약점은 관리 엔진, 서보 플랫폼 서비스 및 실행중인 신뢰할 수있는 실행 엔진에 영향을 미칠 수 있습니다.
플랫폼 관리 센터에 위치한 인텔 관리 엔진은 전용 MINIX3 운영 체제 (유닉스 계열 운영 체제)와 통합 된 일련의 칩셋을 통해 엔터프라이즈 vPro 관리 기능을 강화하는 보조 프로세서입니다. 주 운영 체제 커널 아래 수준에서 실행합니다.
Intel Management Engine은 사용자의 컴퓨터를 모니터링하도록 설계되었으며 메인 CPU의 대부분의 처리 및 데이터에 대한 게이트웨이입니다. 이는 엔터프라이즈 시스템 관리자가 PC 클러스터를 관리하는 데 매우 유용하지만, 해커, 엔진은 똑같이 매력적입니다.
인텔의이 결함은 해커가 영향을받는 하드웨어에서 사용자 또는 주요 운영 체제와 호환되지 않는 임의의 코드를 실행할 수있게합니다.이 공격으로 인해 Chipzilla는 '종료 스위치'를 구현하여 미국 국가 안보국 (National Security Agency)은 IT 보안 표준 인 HAP을 지정했습니다.
그러나 올해 초 스위치가 발견되었으며 Ermolov와 Goryachy는 CVE-2017-5705, CVE-2017-5706의 취약점 10 건 중 3 건을 실제로 보호하지 못했다고 말했습니다. , CVE-2017-5707 그들은 또한 로컬에서 익스플로잇 될 수있는 스택 버퍼 오버 플로우를 발견했으며, 인텔 관리 엔진을 사용하는 모든 장치에서 부호없는 코드가 실행되도록 허용한다고 말했습니다. Off 상태 또는 보안 소프트웨어에 의해 보호되는 상태에 놓이게됩니다. 또한 Ermolov와 Goryachy는 스택 카나리 (메모리에 기록 된 값)를 우회하여 변경 사항을 감지하여 오버플로를 캡처하는 일반적인 기술을 생산합니다 ROP (return-oriented programming)를 사용하여 실행 코드를 실행할 수있게 할 수 있습니다.
이 취약점은 시스템을 손상시키기 위해 원격 IT 관리 시스템을 통해 영향을받는 시스템에 로컬로 액세스하거나 시스템 자격 증명에 액세스해야하지만 인텔의 AMT 취약점은 올해 5 월에만 공개되었습니다 로컬 액세스가 영향을 미치지 만 마침내 취약점이 원격 공격을 유발할 수도 있음을 확인했습니다.
Ermolov와 Goryachy는 The Register에 이메일로 보낸 이전 성명서에서 다음과 같이 말했다 :
'인텔 칩 장비의 대규모 침투의 관점에서, 가능성은 매우 연약 모두 노트북과 기업의 IT 인프라를 포함하는 매우 큰 규모의 공격이다.'
"문제는 해결하기 어렵습니다. 제조업체가 펌웨어를 업그레이드해야하며, 해커가 이러한 취약점을 악용 할 때 찾기가 더 어렵습니다."
디노 다이 조비는 등록 전자 메일에 편지 안전 Capsule8 회사의 공동 설립자이자 최고 기술 책임자 (CTO) 인 그는 Ermolov 및 Goryachy 연구가 가장 불안하게 발견 생각은 해커에 의해 이용 될 수있는 장소입니다 사용하기 쉽고 대상 시스템의 컴퓨터 섀시를 열 필요도 없습니다. "Dino Dai Zovi는 다음과 같이 말했습니다.
해커가 쉽게 우회 할 수있는 변조 방지 스위치가있는 랩탑이 있더라도 장치에 물리적으로 액세스하려는 해커에게는 큰 장애물이 아닙니다. "
Leifengnet은 Ermolov와 Goryachy가 CVE-2017-5705, CVE-2017-5706 및 CVE-2017-5707과 관련된 취약점 패치를 발표했지만 해커가 전혀 눈치 채지 못할 가능성은 배제 할 수 없음을 알게되었습니다. 공격자가 관리 엔진 영역 펌웨어를 덮어 쓰고 새 버전에서 프로그램을 다시 작성할 수 있기 때문입니다.
다이 조비 (Dai Zovi)
이전 버전의 관리 엔진 펌웨어를 작성하려면 일반적으로 공급 업체 특정 구성에 따라 플래시 메모리 칩에 직접 작성하거나 취약한 BIOS 보호를 사용해야합니다.
미국 정부는 인텔 관리 엔진 (Intel Management Engine) 취약성에 대한 우려를 표명하고 당국에이 문제를 제출했으며 하드웨어 제조업체 인 델, 퓨리 시스 (Purism) 및 시스템 (System76)은 인텔 관리 엔진이 장착 된 장치 공급을 중단했다.
다이 조비는 이러한 하드웨어 공급 업체에 추가하여이 문제를 해결하기 위해 시도에서 일부 보안 기술 커뮤니티는 인텔 관리 엔진의 불신, 같은 me_cleaner 및 헤드 등의 문제를 일부 오픈 소스 프로젝트 개발을 해결하기 위해 노력하고 있음을 지적했다.
인텔은 길에게 그것의 관리 엔진을 변경할 계획 여부를 묻는 메시지, 또는 칩이 관리 엔진을 제공하지 않는 경우, 회사 대변인 권장 사항은 하드웨어 공급 업체에 관련된 문제 일 수 있으며, 대변인은 말했다 :
'관리 엔진은 몇 가지 중요한 기능을 사용자가 등등 보안 부팅, 이중 인증, 시스템 복구 및 엔터프라이즈 디바이스 관리하고, 가장 걱정입니다 제공합니다.'
'특별한 요구 사항과 시스템 소유자는 해당 요청을 요청해야 장치의 제조업체에 문의,하지만 당신은 엔진 관리 칩을 제거하면 인텔은 이러한 구성의 이동을 지원하지 않도록 확실히, 제공하는 대부분의 주류 제품의 기능에 영향을 미칠 것입니다. "
Lei Feng의 네트워크 번역