Компания Intel сообщила о выпуске патча для устранения уязвимости в подсистеме Intel Management Engine, которая была обнаружена экспертами Positive Technologies. Intel также опубликовала специальный инструмент, который поможет администраторам Windows и Linux-систем узнать о том, уязвимо ли их оборудование.

Intel Management Engine – это закрытая технология, которая представляет собой интегрированный в микросхему Platform Controller Hub (PCH) микроконтроллер с набором встроенных периферийных устройств. Через PCH осуществляется почти все общение процессора с внешними устройствами, поэтому Intel ME имеет доступ практически ко всем данным на компьютере. Исследователям удалось найти ошибку, которая позволяет выполнять неподписанный код внутри PCH на любой системной плате для процессоров семейства Skylake и выше.

Например, уязвимость позволяет атаковать компьютеры с соответствующей версией Intel ME и потенциально устанавливать в коде системы «закладки» (например, шпионское ПО), которые большинство традиционных средств защиты не обнаружат, поскольку закладка будет функционировать на отдельном чипе, а не на CPU, на котором работают большинство ОС и традиционных средств защиты. При этом основная система останется работоспособной, таким образом, пользователь может и не подозревать о том, что на его компьютере функционирует шпионское ПО, устойчивое к переустановке ОС и обновлению BIOS.

В бюллетене безопасности Intel представлен полный список уязвимых процессоров – это Intel Core поколений 6, 7 и 8; Intel Xeon E3-1200 v5 и v6; Intel Xeon Scalable; Intel Xeon W; Intel Atom C3000; Apollo Lake Intel Atom E3900; Apollo Lake Intel Pentium; чипы Celeron серий N и J.

Исследователи Positive Technologies рассказали о найденной уязвимости в Intel Management Engine 11 на конференции Black Hat Europe. По их информации, уязвимость открывает злоумышленникам доступ к большей части данных и процессов на устройстве. Локально эксплуатируемое «переполнение буфера» дает возможность запускать неподписанный код на любом компьютере, на котором широко используются чипы Intel, произведенные после 2015 г. Эти чипсеты используются во всем мире: от домашних и рабочих ноутбуков до корпоративных серверов.

Уязвимость затрагивает подсистему Intel Management Engine, которая с 2015 г. встраивается в большинство чипов Intel для эффективной работы системы. Intel ME функционирует во время запуска компьютера, его работы и режима сна, обеспечивая практически всю коммуникацию между процессором и внешними устройствами. Таким образом, она располагает доступом почти ко всем данным на устройстве.

Уязвимость обнаружена в критически важном модуле Intel ME, эксплуатируя которую, злоумышленник может обойти криптографическую и аппаратную защиту. Переполнение буфера в стеке, которое возникает, когда программе приходится записывать объем данным больше допустимого, приводит к риску внедрения зловредного кода. Исследователи нашли способ обойти защиту от переполнения стекового буфера и смогли запустить произвольный код, используя технику Return Oriented Programming.

После получения таким образом доступа к системе у потенциального злоумышленника появляется масса возможностей: он может проникнуть вглубь компьютера за пределы ОС, контролировать все процессы и получить доступ к большей части данных. Такой уровень доступа означает также, что любой эксплуатирующий эту уязвимость злоумышленник, обойдя традиционную защиту на основе ПО, сможет проводить атаки даже при выключенном компьютере. Для эксплуатации этой уязвимости атакующему необходим либо физический доступ к устройству, либо учетные данные пользователя для удаленного управления системой.

В то же время исследователи обнаружили, что выпущенное Intel обновление не исключает возможность эксплуатации уязвимостей CVE-2017-5705, CVE-2017-5706, CVE-2017-5707. При наличии у атакующего доступа на запись к ME-региону он всегда может записать уязвимую версию МЕ и проэксплуатировать уязвимость в ней.