Intel má chybu v čipsetech a CPU. Útočník může poškodit firmware a „bricknout“ desku

17. 4. 2018

Sdílet

 Autor: Intel
Zranitelnost objevená v řadiči SPI Flash čipsetů Intel dovoluje smazat nebo poškodit UEFI, útočník či malware mohou způsobit, že počítač přestane fungovat.

Kdo by to v těchto časech čekal, dámy a pánové, ale zdá se, že byla objevena bezpečnostní zranitelnost (lidově řečeno díra) související s procesory. Nejde v tomto případě přímo o hardwarovou chybu, jakož spíš o chybu ve firmwaru a souvisejícím kódu (podobně jako třeba v případě nedávných kontroverzně medializovaných zranitelností u AMD). I tak má ale nepříjemné „nesoftwarové“ dopady, pokud by byla zneužita nějakým malwarem. Problém s označením CVE-2017-5703 se týká platformy procesorů Intel a paměti SPI Flash, ve které mají PC (ale potažmo i notebooky, servery) nahraný BIOS či přesněji řečeno UEFI, které legacy BIOS nahradilo v roli firmwaru. Firmware se dá aktualizovat, takže je do něj možno ze strany softwaru za určitých podmínek provést zápis. U procesorů Intel z poslední doby ale v těchto mechanismech byla nalezena slabá místa, která může zneužít útočník nebo malware. Lokalizována by zřejmě měla být v rozhraní čipsetu komunikujícím s pamětí SPI Flash a problém spočívá v tom, že řadič dovoluje některé úpravy, které by neměl. Útok na tyto zranitelnosti podle popisu na webu firmy Lenovo může způsobit porušení nebo smazání obsahu paměti SPI Flash s UEFI. Takový zásah by mohl způsobit různé chyby, zejména ale znemožnit naběhnutí počítače. Podle Lenova by mohlo být znemožněno f

Chyba byla nalezena přímo Intelem, zatím ji asi nikdo nezneužíval

Zneužití chyby naštěstí podle Intelu ještě nebylo pozorováno v reálném světě, tudíž snad nyní není nebezpečí bezprostřední. Intel uvádí, že problém byl objeven přímo jeho zaměstnanci, nikoliv třetí stranou. Zároveň už byla vyvinuta oprava, kterou firma předal výrobcům počítačů a desek. Oprava je však na úrovni BIOSu (UEFI), takže ji budou muset distribuovat tito výrobci, což její šíření patrně zdrží, jak už to tak chodí. Výrobci budou totiž muset ručně sestavit, validovat a vydat BIOS pro každý model.

Postižené generace (platformy) procesorů

  • 8th generation Intel® Core™ Processors
  • 7th generation Intel® Core™ Processors
  • 6th generation Intel® Core™ Processors
  • 5th generation Intel® Core™ Processors
  • Intel® Pentium® and Celeron® Processor N3520, N2920, and N28XX
  • Intel® Atom™ Processor x7-Z8XXX, x5-8XXX Processor Family
  • Intel® Pentium™ Processor J3710 and N37XX
  • Intel® Celeron™ Processor J3XXX
  • Intel® Atom™ x5-E8000 Processor
  • Intel® Pentium® Processor J4205 and N4200
  • Intel® Celeron® Processor J3455, J3355, N3350, and N3450
  • Intel® Atom™ Processor x7-E39XX Processor
  • Intel® Xeon® Scalable Processors
  • Intel® Xeon® Processor E3 v6 Family
  • Intel® Xeon® Processor E3 v5 Family
  • Intel® Xeon® Processor E7 v4 Family
  • Intel® Xeon® Processor E7 v3 Family
  • Intel® Xeon® Processor E7 v2 Family
  • Intel® Xeon® Phi™ Processor x200
  • Intel® Xeon® Processor D Family
  • Intel® Atom™ Processor C Series

Zranitelné mají být platformy uvedené v tomto seznamu. V prvé řadě jde o desktopové a notebookové procesory Brodwell, Skylake, Kaby Lake a Coffee Lake, tedy všechny mainstreamové procesory Intelu od roku 2015. Ale také Atomy. Nevím, zda je seznam úplně stoprocentně kompletní, ale podle různých modelových označení se jedná o čipy Bay Trail, Cherry Trail/Braswell a Apollo Lake. Kromě toho také serverové Atomy řady C, nejspíš včetně nejnovějšího Denvertonu, Xeony Phi řady x200 (tedy Knights Landing) a dále například enterprise Xeony E7-2800/4800/8800 generací V2, V3 a V4, což by měly být čipy Ivy Bridge EX (též Ivy Town), Haswell-EX a Broadwell-EX. Ale pozor, namočené jsou podle všeho také nejnovější Xeony Skylake-SP a také Xeony D.

ICTS24

intel-atom-c3000-procesor-denverton

Opět aktualizace BIOSů pro velké množství PC

Rozsahem postižení je tedy tento bug asi dost problematický, jelikož výrobcům dá hodně práce vydat BIOSy pro veškeré postižené počítače a desky (navíc nejde o první takový případ, totéž je nedávno přinutila udělat chyba Spectre a předtím zranitelnosti Intel ME). Doufejme, že to nepovede k tomu, že se výrobci na některé starší systémy vykašlou. Pokud běžíte na platformě Intel, patrně vás opět čeká zkoumání stránek s BIOSy, případně zjišťování, zda je váš notebook či deska touto chybou postižena. Intel doporučuje žádat aktualizaci BIOSu či informace o statusu zařízení od výrobce, ideální by ale bylo, kdyby všichni výrobci vytvořili podobné stránky s přehledem dotčených produktů a odkazy, jako má Lenovo (viz odkaz výše).