Az elmúlt héten írtunk arról, hogy puffertúlcsordulással padlóra küldhető az Intel Management Engine, ami ellen gyakorlatilag csak a rendszer letiltásával lehet védekezni, ugyanis a támadók még a legújabb, esetlegesen foltozott firmware helyére is vissza tudnak tölteni egy régebbi, a kihasználandó biztonsági rést még tartalmazó verziót.
Az Intel valószínűleg tudta azt, hogy a Positive Technologies ki fogja játszani az aktuális rendszerét, így már korábban elkezdhettek dolgozni a változtatásokon, és mára kiderült, hogy a Management Engine 12-es verziója bevezet egy új védelmet. Ez lényegében arra szolgálna, hogy maga a firmware ne lehessen visszafrissíthető, vagyis a már ismert és javított biztonsági réseket sehogy se lehessen újra elérhetővé tenni a hardveren, ha a felhasználó a legfrissebb firmware-t alkalmazza.
A vállalat FPF-alapú védelmet fog bevetni, ami lényegében arról szól, hogy egy külön lapka kerül a platformba, aminek az egyes területei egyszer írhatók. Az új firmware-ek állandóan nagyobb úgynevezett SVN (Security Version Number) értéket kapnak, így a kisebb értéket tartalmazó firmware visszafrissítését megakadályozza a rendszer. Technikailag ez sem tökéletes védelem, de nagyságrendekkel nehezebb kijátszani, mint a mostani opciót. A Management Engine 12 viszont új hardvereket igényel, tehát ez csak a készülő Coffee Lake vagy újabb lapkákra épülő gépeken lesz bevezetve. A korábbi generációs modellekkel sajnos nem lehet mit kezdeni.
A Management Engine 12 új, hardveres védelmének lesz egy mellékhatása is, ugyanis sokkal nehezebbé teszi a Management Engine gyártói oldalon történő kikapcsolását. Ezzel valószínűleg arra akar reagálni az Intel, hogy a csendben lázadozó partnerek ne kínáljanak fel olyan megoldásokat, amelyek megpróbálják kiműteni a Management Engine-t a gépekből. Bár ezt minden bizonnyal nem tudják majd teljesen megakadályozni, és bizonyos érintettek továbbra is visszafejthetik a rendszert, annak érdekében, hogy minél több részét inaktiválhassák, a Management Engine 12 jelentősen meg fogja majd nehezíteni a dolgukat.
Az elégedetlenkedő gyártók számára innentől kezdve többet érhet majd a piacpolitikai nyomásgyakorlás, vagyis az, hogy a felhasználók elé viszik a meglátásaikat a kockázatokkal kapcsolatban, és megpróbálják a közösség támogatásával kierőszakolni az Intelből azokat a termékeket, amelyekben a Management Engine alapból inaktív. Ez sokféleképpen történhet, a leghatékonyabb módszer az, ha AMD processzorok vásárlására buzdítják a felhasználókat, hiszen a másik oldalon nemrég készült egy olyan AGESA verzió, ami a PSP-t inaktiválhatóvá teszi. Azt nehéz megmondani, hogy ez hosszabb távon beválhat-e, viszont a Management Engine nélküli Intel processzorokat igénylő réteg nem igazán tud más eszközhöz nyúlni ebben a harcban.