Remote execution rupetina u Intel ME-u
https://www.theregister.co.uk/2017/05/01/intel_amt_me_vulnerability/
Red alert! Intel patches remote execution hole that's been hidden in biz, server chips since 2008
For the past nine years, millions of Intel workstation and server chips have harbored a security flaw that can be potentially exploited to remotely control and infect systems with spyware.
Specifically, the bug is in Intel's Active Management Technology (AMT), Standard Manageability (ISM) and Small Business Technology (SBT) firmware versions 6 to 11.6. According to Chipzilla, the security hole allows „an unprivileged attacker to gain control of the manageability features provided by these products.”
Uzevsi u obzir kompleksnost cele stvari i nerafinisan pristup hardveru koji ME koprocesor ima, bilo je samo pitanje vremena kada će ovo da se desi.
Suska se da je ovaj problem bio poznat >godinama< - pitanje je šta je Intel nateralo da se patchuju sad, moje mišljenje je da će uskoro neko da leak-uje da neko, možda neka troslovna agencija, koristi ovaj vuln i sada kada vuln dodje u ruke običnih kriminalaca stvari postaju prilično gadne.
Za neupucene, Intel Management Engine je poseban procesor koji trci svoj RTOS i ima vrlo sirok pristup hardveru: može da cita memoriju, prica sa Intel mreznim adapterima, analizira pakete, patchuje sistem, pali i gasi sistem itd... ne treba mu čak ni da racunar bude ukljucen, dovoljno je samo da maticna ploca pod naponom. Intel valja dodatne „enterprise” tehnologije bazirane na ME-u: AMT (Active Management Technology) koji omogućava remote „bare metal” administraciju masina čak i kada je OS ili boot disk onesposobljen. AMT je ukljucen samo u skupljim Intel procesorima, ali svi danas imaju ME.
A, da, još od pre nekoliko verzija procesora ME je obavezan, tj. Intel je u ME spustio i neke funkcije održavanja procesora tako da je prakticno nemoguće kompletno otarasiti se ME-a osim u specijalnim slučajevima gde je moguće korumpirati deo ME firmware-a bez da sistem detektuje to i ugasi racunar posle 30 minuta, ali i tad se ME CPU bootuje i trci bar minimalni deo funkcija.
Dobra vest je da su samo „enterprise” verzije (sa ukljucenom AMT tehnologijom) ranjive od spolja. Masine sa „samo” ME-om su ranjive unutar lokalnog LAN-a (ako je masina prikacena preko Intel adaptera).
Fizicka izolacija kriticnih masina od Interneta i fizicka sigurnost objekata gde su serveri je jedino rešenje protiv ovakvih gluposti.
