Active Management Technology

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

Intel Active Management Technology — апаратна технологія, що дозволяє віддалено («out-of-band» — «позасмугово», по незалежному допоміжному каналу TCP/IP) керувати налаштуваннями і безпекою комп'ютера незалежно від стану живлення (віддалене включення/виключення комп'ютера) і стану ОС . Технологія доступна в настільних ПК на базі процесорів Intel Core 2 і ноутбуках на базі процесорів Intel Centrino з технологією Intel vPro. Для підключення необхідна система, що має набір мікросхем з підтримкою технології Intel AMT.[1]

Принцип роботи[ред.ред. код]

Докладніше: Intel Management Engine

AMT є частиною Intel Management Engine і працює на спеціалізованому мікроконтролері. Починаючи з версії 11, це процесор на основі Intel Quark, на якому запускається варіант операційної системи Minix 3; попередні версії використовували мікроконтролер архітектури ARC і операційну систему ThreadX. Мікросхема контролера знаходиться зазвичай на материнській платі або, у випадку AMT 1.0, на мережевій платі. Мікропрограма AMT записана на флеш-пам'ять SPI, зазвичай на той же чип, що зберігає код BIOS. Зберігання мікропрограми AMT в FWH (Firmware Hub) або в сховище, яке підключене через LPC, не підтримується.[2]

До появи процесорів архітектури Nehalem, Intel ME був частиною північного моста. Новіші архітектури (починаючи з Intel 5 series) включили Intel ME до складу Platform Controller Hub.[3]

Програмно AMT оновлюється одночасно з BIOS. Можливі оновлення тільки між мінорними версіями (остання цифра). Мажорна версія AMT залежить від чипсета і перехід між ними можливий лише при заміні чипсета і материнської плати.

Версії[ред.ред. код]

  • Intel AMT 8.0 — Чипсети Intel 7-ї серії (Panther Point);
  • Intel AMT 7.0 — Чипсети Intel Q67 Express, QM67 та QS67;
  • Intel AMT 6.0 — Платформи з процесорами Intel Core i5, Intel Core i7 і подтримкою vPro, чипсетами Q57, QM57 и QS57. Також системи на процесорах серії Xeon 3400 та Core i5, підтримкою vPro і чипсетом 3450;
  • Intel AMT 5.0 — Intel Core 2 з vPro і чипсет Intel Q45 (ICH10);[4]
  • Intel AMT 4.1 — Появляється Intel AMT 4.0, доповненою технологією Intel Anti-Theft. Оновлення можливо на деяких мобільних платформах з чипсетом GM45 (ICH9M);
  • Intel AMT 3.2 — Оновлення Intel AMT 3.0 з доповненням DASH 1.0 для спрощення конфігурування;
  • Intel AMT 3.1 — Оновлення Intel AMT 3.0 для підтримки Linux (Red Hat і SUSE);
  • Intel AMT 3.0 — Настільні платформи Intel з vPro та чипсетом Intel Q35 (ICH9), наприклад Intel DQ35MP;
  • Intel AMT 2.6 — Intel AMT 2.5 з можливістю дистанційного конфігурування;
  • Intel AMT 2.5 — Мобільні платформи Intel Centrino Pro на чипсетах GM965/PM965 (ICH8M);
  • Intel AMT 2.0 — Настільні платформи Intel vPro на чипсеті Intel Q963/Q965 (ICH8), наприклад Intel DQ965GF;
  • Intel AMT 1.0 — Платформи на чипсеті 82573E (ICH7), що використовують контроллер Gigabit Ethernet, наприклад Intel D975XBX2.

Проблеми безпеки[ред.ред. код]

Огляд[ред.ред. код]

Деякі дослідники вважають систему Intel Management Engine бекдором. У випадку компрометації зловмисниками ця система може бути використана як руткіт, завдяки якому буде отриманий повний контроль над комп'ютером жертви. При цьому у жертви відсутня будь-яка можливість дізнатись про компрометацію своєї системи з ураженого комп'ютера[5].

В серпні 2017 року групі дослідників під керівництвом Дмитра Склярова з фірми Positive Technologies (PTE) вдалось відтворити таблиці коду Гаффмана, яким закодовані бінарні коди Intel Management Egine (Intel ME), та в результаті проведеного аналізу знайти спосіб безпечного вимкнення переважної частини системи Intel ME версії 11 (встановлена в мікропроцесори Intel сімейств Skylake та Kaby Lake: Core i-6000 та Core i-7000)[6][7].

Знайдений ними метод покладається на режим High-Assurance Platform (HAP). Відомо, що цей режим був запропонований АНБ в 2009—2010 роки як частина концепції Trusted Computing Group (TCG) для особливо захищених комп'ютерів для використання в урядових проектах для зменшення площини для хакерських атак[6].

Групі дослідників також вдалось встановити, що Intel ME працює на мікропроцесорі архітектури x86 сімейства Intel Quark, який інтегрований в чипсет (Platform Controller Hub) або в корпус мікропроцесора для мобільних платформ. Досліджена ними 11-та версія Intel ME працювала на операційній системі на ядрі Minix. Відомо, що попередні версії були побудовані на операційній системі реального часу ThreadX та мікроконтролерах ARC[6].

Відомо про декілька вразливостей в системі Intel AMT: в травні 2017 року Intel підтвердила існування вразливості англ. Silent Bob is Silent (CVE-2017-5689)[8][9][10]. Дана вразливість дає можливість зловмисниками отримати повний доступ до ураженої системи: зчитувати та змінювати будь-які дані, встановлювати шкідливе ПЗ (можливо навіть в мікрокоді апаратного забезпечення).

В червні 2017 року стало відомо про використання механізму Seral over LAN злочинним угрупуванням PLATINUM для прихованої передачі викрадених документів.[11][12][13][14][15][13][16][17][18]

В листопаді 2017 року група дослідників з російської компанії Positive Technology повідомила, що ними був відкритий спосіб атаки на сучасні версії Intel ME через підсистему Joint Test Action Group (JTAG). Ця підсистема доступна через з'єднання через порт USB[19].

SA 86[ред.ред. код]

Вже 21 листопада 2017 року компанія Intel випустила порадник (англ. Security Advisory) SA-00086 яким підтвердила існування уразливостей в системах Intel Management Engine (ME), Server Platform Services (SPS) та Trusted Execution Engine (TXE). Компанія надала необхідні латки виробникам комп'ютерів та материнських плат, аби вони змогли випустити оновлення для усунення даних вад[20].

Відомо, що дана вразливість присутня у продуктах, випущених протягом останніх двох років а також в Skylake (Core i3/i5/i7-6000, 2015). Окрім шостого покоління Core-i вона наявна у сьомому та восьмому поколіннях (Core i-7000/Kaby Lake, Core i-8000, Coffee Lake) та в споріднених з ними Celeron G, Pentium (Gold) G, Xeon E3-1200v5 та Xeon E3-1200v6 в яких використаний Management Engine ME версій від 11.0 до ME 11.7[20].

Система Trusted Execution Engine TXE 3.0 наявна в чипсетах для Apollo-Lake сімейств Atom E3900, Celeron N3x50, Celeron J3x55, Pentium N4200, Pentium J4205[20].

Система Server Platform Services SPS 4.0 наявна в сучасних чипсетах Xeon Scalable Processors (Xeon-SP) та споріднених з ними Xeon W, а також в Skylake-SP і Skylake-W[20].

Виявлені уразливості отримали кодові позначення CVE-2017-5705, CVE-2017-5708, CVE-2017-5711 та CVE-2017-5712[20].

Вади налаштування[ред.ред. код]

В січні 2018 року дослідники компанії F-Secure оприлюднили доповідь в якій звернули увагу на вади процедури ініціалізації та налаштування системи Intel ME. Вони помітили, що в системах, в яких присутній Intel Management Engine але не здійснене її початкове налаштування існує можливість прихованого запуску та перехоплення прав адміністратора. Алгоритм дій такий:[21]

  • зловмисник повинен мати фізичний доступ до комп'ютера жертви протягом кількох хвилин;
  • зловмисник перезавантажує комп'ютер та переходить в меню налаштування BIOS. Навіть якщо це меню захищене паролем зловмисник може обрати варіант англ. Intel Management Engine BIOS Extension (MEBx) та ввести фабричний пароль: admin.
  • тепер зловмисник має лише змінити фабричний пароль на власний, увімкнути Intel ME з віддаленим доступом, та змінити значення параметру AMT opt-in на None.

Цих дій достатньо для компрометації комп'ютера жертви й можливості прихованого доступу до будь-яких його даних з локальної мережі.

Хоча дана вада не є уразливістю в звичному розумінні та потребує фізичного доступу до комп'ютера жертви, дослідники звертають увагу, що, тим не менш, така вкрай нескладна атака може бути здійснена навіть «прибиральницею» або просто вправним зловмисником, який здобуде доступ до комп'ютера жертви протягом бодай кількох хвилин[21].

Захиститись також не складно: достатньо самому пройти процедуру налаштування Intel ME та встановити власний (безпечний) пароль, або ж вимкнути цю систему взагалі[21].

Див. також[ред.ред. код]

Примітки[ред.ред. код]

  1. Технологія Intel® Active Management — Опис (рос.)
  2. Architecture Guide: Intel Active Management Technology. Intel
  3. Platforms II (PDF). Users.nik.uni-obuda.hu. Процитовано 2016-05-25. 
  4. Gelsinger Speaks To Intel And High-Tech Industry's Rapid Technology Cadence
  5. Damien Zammit (Jun 15 2016). Intel x86s hide another CPU that can take over your machine (you can't audit it). Boing Boing. 
  6. а б в Christof Windeck (29.08.2017). Intel Management Engine (ME) weitgehend abschaltbar. Heise Security. 
  7. Disabling Intel ME 11 via undocumented mode. Positive Technologies. August 28, 2017. 
  8. CVE - CVE-2017-5689. Cve.mitre.org. Процитовано 2017-05-07. 
  9. Intel Hidden Management Engine - x86 Security Risk?. Darknet. 2016-06-16. Процитовано 2017-05-07. 
  10. Garrett, Matthew (2017-05-01). Intel's remote AMT vulnerablity. mjg59.dreamwidth.org. Процитовано 2017-05-07. 
  11. Sneaky hackers use Intel management tools to bypass Windows firewall. Процитовано 10 June 2017. 
  12. Tung, Liam. Windows firewall dodged by 'hot-patching' spies using Intel AMT, says Microsoft - ZDNet. Процитовано 10 June 2017. 
  13. а б PLATINUM continues to evolve, find ways to maintain invisibility. Процитовано 10 June 2017. 
  14. Malware Uses Obscure Intel CPU Feature to Steal Data and Avoid Firewalls. Процитовано 10 June 2017. 
  15. Hackers abuse low-level management feature for invisible backdoor. iTnews. Процитовано 10 June 2017. 
  16. Vxers exploit Intel's Active Management for malware-over-LAN • The Register. www.theregister.co.uk. Процитовано 10 June 2017. 
  17. Security, heise. Intel-Fernwartung AMT bei Angriffen auf PCs genutzt. Security. Процитовано 10 June 2017. 
  18. PLATINUM activity group file-transfer method using Intel AMT SOL. Channel 9. Процитовано 10 June 2017. 
  19. Richard Chirgwin (9 Nov 2017). Intel's management engine - in most CPUs since 2008 - can be p0wned over USB. The Register. 
  20. а б в г д Christof Windeck (21.11.2017 ). Intel stopft neue Sicherheitslücken der Management Engine (SA-00086). Heise Online. 
  21. а б в A Security Issue in Intel’s Active Management Technology (AMT). F-Secure. 2018-01-12. 

Посилання[ред.ред. код]

Про проблеми безпеки