В прошлом месяце Intel исправила ряд уязвимостей в Management Engine, однако патчи можно было отозвать.
Процессоры x86 Intel Coffee Lake и Cannon Lake могут быть защищены производителями компьютеров от попыток даунгрейда драйвера Intel Management Engine (ME) с целью его нейтрализации.
В июне текущего года специалисты компании Positive Technologies Марк Ермолов и Максим Горячий обнаружили в прошивке ME уязвимости CVE-2017-5705, 5706 и 5707, позволяющие злоумышленникам получить доступ к платформе, ME и конфиденциальным данным, защищенным технологией Intel.
В прошлом месяце производитель выпустил исправления для восьми уязвимостей, затрагивающих ME, Server Platform Services (SPS) и Trusted Execution Engine (TXE) и позволяющих атакующему включить «режим бога» на системе. Тем не менее, поскольку прошивка ME является записываемой, любое обновление можно отозвать. То есть, злоумышленники могут перепрограммировать чипы на материнской плате и отменить все изменения. Это практически означает конец игры, если у хакера есть физический доступ к атакуемому компьютеру, чтобы переписать SSD.
Однако Intel может помешать таким инструментам, как me_cleaner, принудительно нейтрализовать ME с последней версией прошивки. В таком случае откатить прошивку до уязвимой версии уже будет нельзя. Согласно уведомлению Intel, начиная с версии ME 12, включенный в обновление с целью предотвратить возможность отката номер чипа (Security Version Number, SVN) будет перманентно сохраняться в Field Programmable Fuses (FPFs). Таким образом, физический даунгрейд прошивки ME до более ранних версий SVN буде невозможен.
После установки FPFs становится постоянным запоминающим устройством, которое нельзя с легкостью модифицировать. Ключи шифрования для защиты данных ME также привязаны к SVN с целью заблокировать доступ злоумышленникам после отката прошивки. Согласно уведомлению Intel, возможен физический даунгрейд версий ME с 8 по 11 с использованием такого инструмента для программирования флэш-памяти, как DediProg.
В настоящее время предотвращающая откат функция деактивирована по умолчанию. Партнеры Intel (производители ПК и серверов) могут включить ее с помощью инструмента Intel Flash Image Tool (FIT). В скором времени Intel сделает функцию включенной по умолчанию.
Наш канал — питательная среда для вашего интеллекта