Procesory Intel mají od roku 2008 bezpečnostní díru, umožňující na dálku ovládnou počítač

4. 5. 2017

Sdílet

 Autor: Intel

Funkce Active Management Technology (AMT), umožňující u procesorů Intel vzdálenou správu počítače, je už asi poměrně známá. Zvlášť díky tomu, že se o ní mezi milovníky konspiračních teorií často mluví jako backdooru a šmírovacím prostředku přítomném v každém CPU Intelu. To je sice silně přehnané (až nesmyslné), nicméně tato technologii je skutečně určitým rizikem. Potvrdilo se totiž, že má své vlastní bezpečností chyby, které vystavují počítač riziku ovládnutí na dálku, navíc nedetekovatelnému operačním systémem či antivirem. Jedna taková chyba byla nyní odhalena ve všech procesorech Intel vyrobených od roku 2008 až dodnes – aktuální Kaby Lake z toho nevyjímaje.

Chyba se přesněji řečeno týká funkcí Active Management Technology, Intel Small Business Technology a Intel Standard Manageability. Umožňuje neautorizovanému útočníkovi po síti získat privilegovaný přístup do cílového počítače přes jeho rozhraní pro správu. To znamená, že nad ním získá moc, jelikož toto rozhraní slouží pro administrátorské činnosti. Jde tedy o vysoce kritickou bezpečnostní díru, neboť takovýto přístup by vždy měl být omezený jen na autorizované osoby. Spolu s tím má chyba ještě sekundární projev: lokálně přímo na počítači ji útočník nebo škodlivý program může zneužít k eskalaci svých práv, tedy aby se dostal administrátorskému přístupu či přímo k rozhraní pro správu, které může za jistých okolností být ještě privilegovanější.

Problém nepostihuje přímo procesory Intel, ale jejich čipové sady, v nichž je AMT implementováno jako součást subsystému Intel Management Engine (ME), taktéž kritizovanému z konspiračních, ale i serióznějších pozic (trnem v oku je například propagátorům otevřeného softwaru a hardwaru). ME je vlastně počítačem v počítači, má vlastní procesor s architekturou ARC a v novějších implementacích je nad hlavní CPU nadřazen – například může počítači znemožnit start, což se používá pro zablokování ukradených notebooků.

Intel Active Management Technology využívá subsystém Intel ME Intel Active Management Technology využívá subsystém ME

ME má také přístup do hlavní operační paměti, běží pod úrovní normálního CPU a operačního systému (tj. z počítače do něj „nevidíte“). Může dokonce být aktivní a poslouchat i v době, kdy je PC vypnuté či uspané. Pokud je osazena síťová karta Intel, má přístup i k ní, což právě umožňuje, aby s ním bylo komunikováno na dálku, a nyní vinou této chyby jej také napadnout vzdáleným útokem.

Zranitelné jsou platformy Intel od roku 2008 až podnes

Zranitelnost technologie AMT se týká již počítačů s procesory generace Nehalem z roku 2008 a přetrvala ve všech následujících evolučních stupních až po současnost – jinými slovy je problém s každou generací CPU, která přišla od doby čipů Core 2 Duo/Quad. Intel přislíbil opravu, která však bude muset směřovat do firmwaru (BIOSu) subsystému ME. Tyto opravy BIOSů tedy dostanete od výrobce svého PC nebo základní desky, nikoliv přímo od Intelu. Zatím proto není jasné, zda se jí dočkají všechny postižené počítače, jelikož řada strojů už bude mimo dobu, po kterou je jejich výrobci podporovali. Ti pak asi nevydají potřebné aktualizace a budete mít smůlu. Opravený kód bude odlišen číslem verze u komponenty Intel Manageability Firmware, které bude mít v posledním čtyřčíslí na konci trojku – například 6.2.61.3535 (Nehalem), 11.6.27.3264 (Kaby Lake).

Pro běžné spotřebitele je zde dobrá zpráva: AMT a ostatní v úvodu zmíněné technologie pro správu jsou zapnuté jen na noteboocích a PC určených pro firemní trh, na spotřebitelských CPU a čipsetech ji Intel kvůli „segmentaci“ k dispozici nedává, navíc si výrobce ještě technologii musí zvlášť licencovat. Pokud tedy nemáte enterprise čipset řady Q, ale jen běžný (řady H, X, Z, P…), AMT aktivní nemáte a napadeni být nemůžete. Na druhou stranu, takové původně „enterprise“ počítače se mohou k běžným uživatelům dostat posléze z druhé ruky. Problém se vás tedy může týkat, pokud jste si pořídili repasovaný notebook jako Latitude, Thinkpad a tak dále, případně nějaký firemní desktop.

ICTS24

Zranitelné funkce AMT jsou obvykle dostupné jen na počítačích s technologiemi Intel vPro nebo Small Business Advantage

Každopádně platí, že pokud váš počítač nemá podporu pro Active Management, Small Business Technology nebo Standard Manageability, nemusíte se této chyby obávat, ohroženi jí nejste. Ačkoliv i i ve vašem počítači Intel ME běží, žádný útočník se k němu touto bezpečnostní dírou zvenčí dostat nemůže.

Než bude dostupná řádná oprava, je doporučeno Intel Active Management Technology a příbuzné funkce pro pro správu počítače deaktivovat v BIOSu počítače nebo notebooku, abyste jejich napadení po síti zabránili. Intel zveřejnil podrobnější návod, jak povypínat postižené technologie na počítačích, které opraveny nebudou, a také návod, jak si přítomnost zranitelnosti ověřit.