Intel сделала невозможным откат прошивки Management Engine до уязвимых версий

Intel сделала невозможным откат прошивки Management Engine до уязвимых версий

В прошлом месяце Intel исправила ряд уязвимостей в Management Engine, однако патчи можно было отозвать.  

Процессоры x86 Intel Coffee Lake и Cannon Lake могут быть защищены производителями компьютеров от попыток даунгрейда драйвера Intel Management Engine (ME) с целью его нейтрализации.

В июне текущего года специалисты компании Positive Technologies Марк Ермолов и Максим Горячий обнаружили в прошивке ME уязвимости CVE-2017-5705, 5706 и 5707, позволяющие злоумышленникам получить доступ к платформе, ME и конфиденциальным данным, защищенным технологией Intel.

В прошлом месяце производитель выпустил исправления для восьми уязвимостей, затрагивающих ME, Server Platform Services (SPS) и Trusted Execution Engine (TXE) и позволяющих атакующему включить «режим бога» на системе. Тем не менее, поскольку прошивка ME является записываемой, любое обновление можно отозвать. То есть, злоумышленники могут перепрограммировать чипы на материнской плате и отменить все изменения. Это практически означает конец игры, если у хакера есть физический доступ к атакуемому компьютеру, чтобы переписать SSD.

Однако Intel может помешать таким инструментам, как me_cleaner, принудительно нейтрализовать ME с последней версией прошивки. В таком случае откатить прошивку до уязвимой версии уже будет нельзя. Согласно уведомлению Intel, начиная с версии ME 12, включенный в обновление с целью предотвратить возможность отката номер чипа (Security Version Number, SVN) будет перманентно сохраняться в Field Programmable Fuses (FPFs). Таким образом, физический даунгрейд прошивки ME до более ранних версий SVN буде невозможен.

После установки FPFs становится постоянным запоминающим устройством, которое нельзя с легкостью модифицировать. Ключи шифрования для защиты данных ME также привязаны к SVN с целью заблокировать доступ злоумышленникам после отката прошивки. Согласно уведомлению Intel, возможен физический даунгрейд версий ME с 8 по 11 с использованием такого инструмента для программирования флэш-памяти, как DediProg.

В настоящее время предотвращающая откат функция деактивирована по умолчанию. Партнеры Intel (производители ПК и серверов) могут включить ее с помощью инструмента Intel Flash Image Tool (FIT). В скором времени Intel сделает функцию включенной по умолчанию.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!