Kikapcsolható a gyűlölt Management Engine az egyes Intel platformokban

A Positive Technologies jött rá a titokra, ami a vélemények szerint, bizonyos PC-ken bezárhat egy NSA felé nyíló hátsó ajtót.

Írta: Abu85
Forrás: PROHARDVER!
2017-08-29 11:09

Az újabb Intel platformok Management Engine funkciója az utóbbi időben nagy figyelmet kap. Az egész azzal kezdődött, hogy az Intel május elején elismerte, hogy sebezhetőek a nagyvállalati gépeik, méghozzá a Nehalem architektúrától kezdve a napjainkig, ami alaposan megkongatta a vészharangokat. Nem sokkal később az EFF összegezte a szakmai véleményét az Intel processzorokban található Management Engine-nel kapcsolatban, ami egy nagyrészt nem dokumentált vezérlő a lapkán belül, ráadásul hozzáférhet a rendszermemóriához, a képernyőhöz, a billentyűzethez és a hálózathoz.

Az iparág azóta is kutatja annak a lehetőségét, hogy a nagyrészt nem dokumentált Management Engine-t miképpen lehetne leállítani, ugyanis erre az Intel nem ad lehetőséget. A Positive Technologies ugyanakkor talált egy rést a pajzson, méghozzá a Management Engine 11-es verziójában, és ezt az alábbi blogban részletesen taglalják. A blogbejegyzés alapján az egész kutatás alapját az adja, hogy sikerült a futtatható modulokat kikódolni, amiben Dmitry Sklyarov, Mark Ermolov és Maxim Goryachy vállalt főszerepet. Az alábbi GitHub oldalon elérhető a szükséges alkalmazás, amivel ezt meg lehet tenni, és erre építette a kutatását a Positive Technologies is.

Mivel a Management Engine egy komplex feladatokat ellátó rendszer, így teljes egészében kikapcsolni nem lehet, elsődlegesen azért, mert ez a rendszer indítja be magát a processzort, ami nélkül ugye a gép sem működne, de többek között felel az energiamenedzsmentért is. A legtöbb korábbi kutatás főleg arra irányult, hogy a potenciálisan problémás modulokat eltávolítsák, meghagyva magát az alaprendszert, hogy a számítógép azért még működjön. Ezt szorgalmazta a me_cleaner projekt, de számos problémával kellett megküzdeni, többek között a Management Engine helyreállítójával, amely a változást érzékelve nagyjából fél órával a bekapcsolás után automatikusan kikapcsolta a PC-t.

Léteznek azonban más titkok is. Leginkább abból a szempontból válik érdekessé a történet, hogy az alaplapgyártók beállíthatnak egy kis számú Management Engine paramétert. Ehhez kapnak egy speciális szoftvercsomagot, amivel a kívánt beállításokat be tudják égetni az alaplap beépített SPI vezérlőjébe. Az interneten szerencsére ezek a programok fellelhetők, mondhatni kiszivárogtak, így maguk az adatok ki is csomagolhatók, amit az alábbi prezentáció taglal is. A Positive Technologies szerinte a legérdekesebb bejegyzés a "reserve_hap", főleg a mellé írt "High Assurance Platform (HAP) enable" megjegyzés miatt.

Köztudott, hogy a High Assurance Platform (HAP) egy NSA (U.S. National Security Agency) program, amit az alábbi prezentáció részletez is. A Positive Technologies első gondolata az volt, hogy mi történne, ha a "reserve_hap" beállítást megváltoztatnák, és az így keletkező firmware-t befrissítenék. Ez meg is történt és az eredmény az lett, hogy a Management Engine lekapcsolt amint elvégezte a feladatát a bootolás során. Ezután nem reagált semmilyen specifikus parancsra. További elemzés után a Positive Technologies abban is eléggé biztos, hogy ebből az alternatív működési módból már nem képes felállni a Management Engine, mivel nem találtak erre utaló jeleket a fenti blogbejegyzésben részletesen taglalt vizsgálatuk során.

Az Intel a Positive Technologies számára elismerte, hogy a "reserve_hap" beállítás szándékosan van a rendszerben, hogy megfeleljenek bizonyos speciális igényeknek, ugyanakkor az inaktív konfiguráció hivatalosan nem támogatott. Minden bizonnyal a speciális igények alatt a kormányügynökségeket kell érteni, ahol az információk egy esetleges biztonsági résen történő kiszivárgása elképesztő károkat okozhatna, így ezt a kockázatot minimalizálják a Management Engine jelentős korlátozásával, gyakorlatilag az inaktiválásával.

Arról a Positive Technologies még nem tud nyilatkozni, hogy a változtatás mennyire befolyásolja a Boot Guardot. Ezt túl kevés idő volt vizsgálni, de később visszatérnek a kérdésre.

Nagyon lényeges kiemelni, hogy a "reserve_hap" beállítást módosítani potenciálisan veszélyes lehet. A beavatkozással akár a teljes számítógép tönkremehet, így minden változtatás csak saját felelősségre végezhető el.

Hozzászólások (70)

Kapcsolódó cégek:
Intel

Azóta történt

USB-n keresztül támadható a Management Engine az egyes Intel platformokban

A Positive Technologies programozói kiskaput találtak az inteles PC-k kivédhetetlen megtámadásához a JTAG debug portok által.

Hír 2017-11-10 26
2020-ban gyilkolja le a BIOS-t az Intel

A céldátum után csak az UEFI legfelső szintje lesz elérhető, amivel a Secure Boot szolgáltatás megkerülhetetlen lesz.

Hír 2017-11-17 83
Elkezdte foltozni a Management Engine biztonsági réseit az Intel

Egy programmal a felhasználók ellenőrizhetik, hogy az adott PC érintett-e.

Hír 2017-11-22 81
Javítás helyett kivégzi a Management Engine-t a notebookjain a System76

A gyártó szerint nincs értelme felvállalni a jelentős biztonsági kockázatot, ha a funkciónak a felhasználók nem veszik hasznát.

Hír 2017-12-01 32

Előzmények

Az Intel nem szeretne x86-ot emuláló rendszereket látni

A vállalat világossá tette az álláspontját a jövő rendszereire nézve, de az szembemegy az FTC egy korábbi döntésével.

Hír 2017-06-12 138
Az Intel CPU-k nem biztonságosak, de mi van AMD megoldásaival?

Az EFF cikke után az iparág csak az Intel Management Engine-jével van elfoglalva, viszont az AMD PSP-je is megér egy külön misét.

Hír 2017-05-26 29
Az EFF szerint biztonsági kockázatot jelentenek az egyes Intel processzorok

Az alapítvány úgy gondolja, hogy a május elején elismert sérülékenység megismétlődhet, amit jó lenne elkerülni az Intel Management Engine kikapcsolhatóságának biztosításával.

Hír 2017-05-18 34
Az Intel váratlanul véget vetett az IDF-nek

A nagy múltú rendezvénysorozat közel húsz év után zárja kapuit. Már az idei fórumot is lemondta a cég.

Hír 2017-04-18 36