Az újabb Intel platformok Management Engine funkciója az utóbbi időben nagy figyelmet kap. Az egész azzal kezdődött, hogy az Intel május elején elismerte, hogy sebezhetőek a nagyvállalati gépeik, méghozzá a Nehalem architektúrától kezdve a napjainkig, ami alaposan megkongatta a vészharangokat. Nem sokkal később az EFF összegezte a szakmai véleményét az Intel processzorokban található Management Engine-nel kapcsolatban, ami egy nagyrészt nem dokumentált vezérlő a lapkán belül, ráadásul hozzáférhet a rendszermemóriához, a képernyőhöz, a billentyűzethez és a hálózathoz.
Az iparág azóta is kutatja annak a lehetőségét, hogy a nagyrészt nem dokumentált Management Engine-t miképpen lehetne leállítani, ugyanis erre az Intel nem ad lehetőséget. A Positive Technologies ugyanakkor talált egy rést a pajzson, méghozzá a Management Engine 11-es verziójában, és ezt az alábbi blogban részletesen taglalják. A blogbejegyzés alapján az egész kutatás alapját az adja, hogy sikerült a futtatható modulokat kikódolni, amiben Dmitry Sklyarov, Mark Ermolov és Maxim Goryachy vállalt főszerepet. Az alábbi GitHub oldalon elérhető a szükséges alkalmazás, amivel ezt meg lehet tenni, és erre építette a kutatását a Positive Technologies is.
Mivel a Management Engine egy komplex feladatokat ellátó rendszer, így teljes egészében kikapcsolni nem lehet, elsődlegesen azért, mert ez a rendszer indítja be magát a processzort, ami nélkül ugye a gép sem működne, de többek között felel az energiamenedzsmentért is. A legtöbb korábbi kutatás főleg arra irányult, hogy a potenciálisan problémás modulokat eltávolítsák, meghagyva magát az alaprendszert, hogy a számítógép azért még működjön. Ezt szorgalmazta a me_cleaner projekt, de számos problémával kellett megküzdeni, többek között a Management Engine helyreállítójával, amely a változást érzékelve nagyjából fél órával a bekapcsolás után automatikusan kikapcsolta a PC-t.
Léteznek azonban más titkok is. Leginkább abból a szempontból válik érdekessé a történet, hogy az alaplapgyártók beállíthatnak egy kis számú Management Engine paramétert. Ehhez kapnak egy speciális szoftvercsomagot, amivel a kívánt beállításokat be tudják égetni az alaplap beépített SPI vezérlőjébe. Az interneten szerencsére ezek a programok fellelhetők, mondhatni kiszivárogtak, így maguk az adatok ki is csomagolhatók, amit az alábbi prezentáció taglal is. A Positive Technologies szerinte a legérdekesebb bejegyzés a "reserve_hap", főleg a mellé írt "High Assurance Platform (HAP) enable" megjegyzés miatt.
Köztudott, hogy a High Assurance Platform (HAP) egy NSA (U.S. National Security Agency) program, amit az alábbi prezentáció részletez is. A Positive Technologies első gondolata az volt, hogy mi történne, ha a "reserve_hap" beállítást megváltoztatnák, és az így keletkező firmware-t befrissítenék. Ez meg is történt és az eredmény az lett, hogy a Management Engine lekapcsolt amint elvégezte a feladatát a bootolás során. Ezután nem reagált semmilyen specifikus parancsra. További elemzés után a Positive Technologies abban is eléggé biztos, hogy ebből az alternatív működési módból már nem képes felállni a Management Engine, mivel nem találtak erre utaló jeleket a fenti blogbejegyzésben részletesen taglalt vizsgálatuk során.
Az Intel a Positive Technologies számára elismerte, hogy a "reserve_hap" beállítás szándékosan van a rendszerben, hogy megfeleljenek bizonyos speciális igényeknek, ugyanakkor az inaktív konfiguráció hivatalosan nem támogatott. Minden bizonnyal a speciális igények alatt a kormányügynökségeket kell érteni, ahol az információk egy esetleges biztonsági résen történő kiszivárgása elképesztő károkat okozhatna, így ezt a kockázatot minimalizálják a Management Engine jelentős korlátozásával, gyakorlatilag az inaktiválásával.
Arról a Positive Technologies még nem tud nyilatkozni, hogy a változtatás mennyire befolyásolja a Boot Guardot. Ezt túl kevés idő volt vizsgálni, de később visszatérnek a kérdésre.
Nagyon lényeges kiemelni, hogy a "reserve_hap" beállítást módosítani potenciálisan veszélyes lehet. A beavatkozással akár a teljes számítógép tönkremehet, így minden változtatás csak saját felelősségre végezhető el.