De hecho, hace dos semanas, los dos investigadores recibieron las gracias de Intel por encontrar las lagunas en el sistema de manera responsable y, mientras tanto, Chipzilla lanzó 10 vulnerabilidades Las notificaciones y las vulnerabilidades relacionadas con las advertencias pueden afectar el motor de administración, los servicios de la plataforma de servo y el funcionamiento confiable del motor de ejecución.
Intel Management Engine centro de control de la plataforma se encuentra, es un co-procesador, puede proporcionar energía a las capacidades de gestión de la empresa a través de una serie de integración de chips vPro. El motor está equipado con un sistema operativo minix3 dedicado (un sistema operativo tipo Unix), el dispositivo puede Ejecutar en un nivel por debajo del núcleo del sistema operativo principal.
Intel gestión del motor está diseñado para controlar el ordenador del usuario, así como en la mayor parte de la entrada de los principales programas de procesamiento de la CPU y datos para los administradores de sistemas de la empresa, este motor para la gestión de grupos de PC es muy útil, pero para aquellos El hacker, el motor es igualmente atractivo.
Este error en Intel puede permitir a los piratas informáticos ejecutar código arbitrario en el hardware afectado que no es compatible con el usuario o el sistema operativo principal. Debido a este ataque, Chipzilla implementó un 'interruptor de apagado' para que coincida. La Agencia de Seguridad Nacional de EE. UU. Designó el estándar de seguridad de TI HAP.
Pero a principios de este año se descubrió el cambio, y Ermolov y Goryachy dijeron que en realidad no protegían contra tres de las 10 vulnerabilidades divulgadas: CVE-2017-5705, CVE-2017-5706 , Y CVE-2017-5707 También dijeron que encontraron un desbordamiento del buffer de la pila que podría explotarse localmente, permitiendo que el código sin firmar se ejecutara en cualquier dispositivo con un Intel Management Engine, incluso si el dispositivo está en fuera del estado, o en un software de seguridad de estado protegido. Además, Ermolov Goryachy también produjo y han adoptado una técnica común para eludir pila canario (el valor de una escritura de memoria), mediante la detección de un cambio en overcapture, por lo Puede permitirles utilizar la programación orientada a retorno (ROP) para ejecutar el código ejecutable.
Aunque estas vulnerabilidades requieren acceso local a la máquina afectada o el acceso a las credenciales de la máquina a través de un sistema de administración de TI remoto para comprometer el sistema, la vulnerabilidad AMT de Intel se dio a conocer solo en mayo de este año. El acceso local tendrá un impacto, pero finalmente confirmó que la vulnerabilidad también puede conducir a ataques remotos.
Ermolov y Goryachy, en una declaración enviada por correo electrónico a The Register, dijeron:
"Dada la gran infiltración de los chips de Intel, el tamaño potencial de los ataques es muy grande, incluidas las computadoras portátiles y las infraestructuras de TI de las empresas, que son muy frágiles".
"El problema es difícil de resolver: requiere que los fabricantes actualicen el firmware, y los hackers son más difíciles de encontrar cuando se explotan estas vulnerabilidades".
Dino Dai Zovi, cofundador y director de tecnología de Capsule8, una compañía de seguridad, dijo en un correo electrónico dirigido a The Register que el aspecto más inquietante de las conclusiones de Ermolov y Goryachy era que la vulnerabilidad podría ser pirateada. Fácil de usar, ni siquiera es necesario abrir el chasis de la computadora del sistema de destino. "Dino Dai Zovi dijo:
Eso no es un gran obstáculo para los piratas informáticos que quieren acceso físico al dispositivo, incluso si algunas computadoras portátiles tienen interruptores resistentes a la manipulación que los hackers pueden eludir fácilmente ".
Lei Feng red aprendió que, aunque Ermolov y Goryachy Lanzaron un parche para CVE-2017-5705, CVE-2.017-5.706 y la vulnerabilidad CVE-2017-5707 asociada con el hardware, pero todavía no se puede descartar por completo la posibilidad de no ser hackeado Porque un atacante puede sobrescribir el firmware de la región del motor de administración y luego reescribir el programa en la nueva versión.
Dai Zovi dijo:
Escribir una versión anterior del firmware del motor de administración generalmente requiere escribir directamente en un chip de memoria flash o usar una protección frágil del BIOS, todo dependiendo de la configuración específica del proveedor.
El gobierno de Estados Unidos para la vulnerabilidad de Intel Management Engine también expresó estrechamente, y ha presentado el problema a las autoridades pertinentes. Fabricante de hardware de Dell, el purismo y System76 ahora equipado con motor de administración de Intel detener el suministro de los equipos.
Dai Zovi señaló que además de estos proveedores de hardware que intentan resolver el problema, alguna comunidad de tecnología de seguridad también está tratando de desarrollar algunos proyectos de código abierto para resolver el problema de confianza en el motor de administración de Intel, como me_cleaner y Heads.
Cuando se le preguntó si Intel planea cambiar la forma en que funciona su motor de gestión o si no tiene un chip de motor de gestión, un portavoz de la compañía sugirió consultar al proveedor del hardware sobre el problema, dijo el portavoz:
El motor de administración proporciona algunas de las características clave que más preocupan a los usuarios, como arranque seguro, autenticación dual, recuperación del sistema y administración de dispositivos empresariales.
'Los propietarios del sistema con requisitos especiales deben ponerse en contacto con el fabricante del dispositivo para preguntar sobre la solicitud, pero seguramente afectará la funcionalidad ofrecida por la mayoría de los productos convencionales si se elimina el chip del motor de administración, por lo que Intel no admite esta configuración.'
Traducción de la red Lei Feng de theregister