Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Hackowanie wyłączonego komputera – Intel łata podatności w kilku rodzinach procesorów

21 listopada 2017, 15:15 | W biegu | komentarzy 5

Core 6,7,8, Xeony, Atomy – to wybrane podatne platformy. O co tu dokładniej chodzi? O podatności w podsystemie Intel Management Engine, które niebawem zostaną zaprezentowane na europejskim Blackhacie.

Atak jak na razie wygląda na mocny – daje dostęp w zasadzie do wszystkiego na komputerze (jakkolwiek górnolotnie by to nie brzmiało) i przeżywa reinstalację systemu operacyjnego. Nie pomoże również choćby update BIOS-u, a sama akcja jest zupełnie niewidzialna dla użytkowników:

It allows an attacker of the machine to run unsigned code in PCH on any motherboard via Skylake+. The main system can remain functional, so the user may not even suspect that his or her computer now has malware resistant to reinstalling of the OS and updating BIOS.

Potwierdza to też sam Intel:

Load and execute arbitrary code outside the visibility of the user and operating system.

Co jest wymagane? Lokalny dostęp na systemie operacyjnym:

Multiple buffer overflows in kernel in Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 allow attacker with local access to the system to execute arbitrary code.

Co jest podatne? Jeśli przeczytaliście uważnie powyższy skrót, wiecie że problem nie występuje w systemach operacyjnych – można wykonać kod na tym wrażliwym chipie poniżej (PCH) –  który posiada własny system operacyjny oraz dostęp do niemal całej komunikacji pomiędzy procesorem a zewnętrznymi komponentami:

PCH

Jak sprawdzić czy jesteście podatni? Intel udostępnił odpowiednie narzędzie (jest wersja na Windows i Linux).

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. markac

    Wkleiłem nie to co trzeba: „There are currently no downloads available for Intel® Management Engine Firmware (Intel® ME FW)” – czyli nie sprawdzimy nic :-)

    Odpowiedz
  2. Michał

    Jak można się przed tym zabezpieczyć? Czy zmiana platformy sprzętowej np. na SPARC rozwiązuje problem?

    Odpowiedz
  3. bratpit

    Manufacturer: Gigabyte Technology Co., Ltd.
    Model: H81M-S2PV
    Processor Name: Intel(R) Pentium(R) CPU G3420 @ 3.20GHz
    OS Version: Slackware 14.2 (4.9.25-grsec_p)

    *** Intel(R) ME Information ***
    Engine: Intel(R) Management Engine
    Version: 9.0.30.1482
    SVN: 0

    *** Risk Assessment ***
    Based on the analysis performed by this tool: This system is not vulnerable.

    Odpowiedz

Odpowiedz