Megakadályozná az Intel a Management Engine visszafrissítését

A vállalat a Management Engine 12-höz biztosítana egy hardveres védelmet, aminek egy kis mellékhatása is van, amolyan járulékos extraként.

Az elmúlt héten írtunk arról, hogy puffertúlcsordulással padlóra küldhető az Intel Management Engine, ami ellen gyakorlatilag csak a rendszer letiltásával lehet védekezni, ugyanis a támadók még a legújabb, esetlegesen foltozott firmware helyére is vissza tudnak tölteni egy régebbi, a kihasználandó biztonsági rést még tartalmazó verziót.

Az Intel valószínűleg tudta azt, hogy a Positive Technologies ki fogja játszani az aktuális rendszerét, így már korábban elkezdhettek dolgozni a változtatásokon, és mára kiderült, hogy a Management Engine 12-es verziója bevezet egy új védelmet. Ez lényegében arra szolgálna, hogy maga a firmware ne lehessen visszafrissíthető, vagyis a már ismert és javított biztonsági réseket sehogy se lehessen újra elérhetővé tenni a hardveren, ha a felhasználó a legfrissebb firmware-t alkalmazza.

A vállalat FPF-alapú védelmet fog bevetni, ami lényegében arról szól, hogy egy külön lapka kerül a platformba, aminek az egyes területei egyszer írhatók. Az új firmware-ek állandóan nagyobb úgynevezett SVN (Security Version Number) értéket kapnak, így a kisebb értéket tartalmazó firmware visszafrissítését megakadályozza a rendszer. Technikailag ez sem tökéletes védelem, de nagyságrendekkel nehezebb kijátszani, mint a mostani opciót. A Management Engine 12 viszont új hardvereket igényel, tehát ez csak a készülő Coffee Lake vagy újabb lapkákra épülő gépeken lesz bevezetve. A korábbi generációs modellekkel sajnos nem lehet mit kezdeni.

A Management Engine 12 új, hardveres védelmének lesz egy mellékhatása is, ugyanis sokkal nehezebbé teszi a Management Engine gyártói oldalon történő kikapcsolását. Ezzel valószínűleg arra akar reagálni az Intel, hogy a csendben lázadozó partnerek ne kínáljanak fel olyan megoldásokat, amelyek megpróbálják kiműteni a Management Engine-t a gépekből. Bár ezt minden bizonnyal nem tudják majd teljesen megakadályozni, és bizonyos érintettek továbbra is visszafejthetik a rendszert, annak érdekében, hogy minél több részét inaktiválhassák, a Management Engine 12 jelentősen meg fogja majd nehezíteni a dolgukat.

Az elégedetlenkedő gyártók számára innentől kezdve többet érhet majd a piacpolitikai nyomásgyakorlás, vagyis az, hogy a felhasználók elé viszik a meglátásaikat a kockázatokkal kapcsolatban, és megpróbálják a közösség támogatásával kierőszakolni az Intelből azokat a termékeket, amelyekben a Management Engine alapból inaktív. Ez sokféleképpen történhet, a leghatékonyabb módszer az, ha AMD processzorok vásárlására buzdítják a felhasználókat, hiszen a másik oldalon nemrég készült egy olyan AGESA verzió, ami a PSP-t inaktiválhatóvá teszi. Azt nehéz megmondani, hogy ez hosszabb távon beválhat-e, viszont a Management Engine nélküli Intel processzorokat igénylő réteg nem igazán tud más eszközhöz nyúlni ebben a harcban.

  • Kapcsolódó cégek:
  • Intel

Azóta történt

Előzmények

Hirdetés