Puffertúlcsordulással padlóra küldhető az Intel Management Engine

Akár kikapcsolt állapotban is átvehető a gép felett az irányítás, és a támadás ellen még védekezni sem lehet.

A Positive Technologies még a nyáron jelentette be, hogy sikerült találniuk egy megoldást a Management Engine kikapcsolásához, de emellett a rendszert folyamatosan térképezték fel, és a korábbi ígéretükhöz híven most bemutatták a rettegett God Mode hacket.

A támadást kidolgozó Mark Ermolov és Maxim Goryachy pár hete kapott elismerést az Inteltől, ugyanis segítettek a cégnek feltárni a Management Engine 11 problémáit, amire érkeztek is frissítések. Ez nagyon fontos, mivel magát a Management Engine-t arra tervezték, hogy egy külön úgymond számítógép legyen a rendszeren belül, ami monitorozza az igazi számítógépet. Ennek megfelelően van saját operációs rendszere (MINIX), ami a felhasználó által látott operációs rendszer kernelének a szintje alatt fut. Ez a rendszeradminisztrátorok számára hasznos, mert így leegyszerűsödik a cégeknél található számítógépek sokaságának kezelése, és tulajdonképpen ez a tulajdonsága érdekes a hackerek számára, mivel elég megszerezniük a hozzáférést ehhez a módhoz és isteni hatalmat kapnak a géppark felett. Erről az Intel is tudott, és emiatt építette bele a rendszerbe a kikapcsolhatóság lehetőségét, amit az első bekezdésben linkelt hír részletez is.

A Black Hat Europe rendezvényen Mark Ermolov és Maxim Goryachy egy puffertúlcsordulást kihasználó támadást részletezett, amivel tetszőleges kódok futtathatók akármilyen Intel Skylake vagy újabb architektúrára épülő processzort használó, Management Engine 11-gyel rendelkező PC-n, akár kikapcsolt állapotban is, függetlenül a felhasznált alaplaptól. Ráadásul a támadás kivédhetetlen, jelen pillanatban csak imádkozni lehet ellene, de ez érthető módon nem segít.

Maga a támadás csak lokálisan, vagy Intel AMT-t (Active Management Technology) használó, távoli hozzáférést biztosító rendszeren keresztül kivitelezhető, viszont ha a kártékony kód valamilyen módon futtatásra kerül, akkor az sokszor még lenyomatot sem hagy. Ráadásul a támadás történhet akár egy fertőzött USB pendrive-ról is, amit elég csak csatlakoztatni a gépre (akár kikapcsoltra), és már meg is történt a baj.

Az Intel által kiadott frissítések sem segítenek, ugyanis a Positive Technologies szakemberei szerint a támadó írási jogot szerezhet a Management Engine régiójához, és onnantól kezdve már csak annyit kell tennie, hogy visszatölt egy régebbi, sebezhető firmware-t, amivel már szabad az út a kártékony kód futtatása előtt. Ezen a ponton a BIOS-ok nem túl acélos konfigurációja sokat segíthet, de a flash lapka direkt írása is szóba jöhet.

A Positive Technologies által bemutatott támadás egyetlen reális ellenszere a Management Engine letiltása, amire már számos nyílt forráskódú projekt született meg a közösség részéről. Az Intel ezt a kérdést a partnerekre hárítja, így a potenciális vásárlók az adott gép gyártójánál érdeklődhetnek a kikapcsolásra vonatkozó lehetőségekről.

  • Kapcsolódó cégek:
  • Intel

Azóta történt

Előzmények

Hirdetés