В процессорах Intel девять лет присутствовала критическая уязвимость

Софт Безопасность Бизнес
мобильная версия
, Текст: Роман Георгиев

Корпорация Intel выпустила патч для критической уязвимости в ПО для своих процессоров серии Core. Данный баг позволял удаленно устанавливать вредоносное ПО на уровень ниже операционной системы. Речь идет в первую очередь о серверных процессорах и чипах, ориентированных на использование в бизнес-инфраструктуре.


Девять лет «дыры» в Intel

Intel выпустила патч для программного обеспечения своих процессоров серии Core, используемых в рабочих станциях и серверах. Эксперты оценивают данную уязвимость как критическую, поскольку она позволяет скрытно устанавливать вредоносное ПО на самом низком уровне, обеспечивая его полную невидимость для операционной системы и установленных в нее антивирусных инструментов.

Уязвимость присутствует во встроенном процессорном ПО Active Management Technology (AMT), Standard Manageability (ISM) и Small Business Technology (SBT) во всех версиях с 6 по 11.6. Это означает, что затронуты процессоры, начиная с семейства Nehalem Core i7 и заканчивая выпущенным в 2017 г. Kaby Lake Core. То есть, уязвимость оставалась неисправленной в течение девяти лет.

Уязвимые технологии работали на базе IntelManagementEngine (ME), подсистеме, встроенной в чипсет и предназначенной для различных задач, связанных с мониторингом и обслуживанием компьютера во время сна, загрузки, а также в процессе его работы.

Во множестве процессоров Intel в течение почти десяти лет существовала критическая уязвимость

Впервые данные технологии были реализованы в чипсетах Intel в 2006 г. ME по сути представляет собой «компьютер в компьютере», вплоть до наличия собственного процессора, независимого от центрального системного процессора компьютера. При этом у ME есть «служебный» доступ к сетевому оборудованию, периферийным устройствам, памяти, накопителям и всем процессорам системы. По сути ME является «чёрным ящиком», о котором представители Intel не любят говорить. Зато о нем охотно, и без особого позитива, говорят специалисты по безопасности, поскольку никто толком не знает, что именно делает Intel Management Engine и есть ли вообще возможность его отключить.

Возможности эксплуатации

Уязвимость, получившая индекс CVE-2017-5689, позволяет удаленному или локальному злоумышленнику повысить свои полномочия до системных и перехватить контроль над управляющими функциями AMT, ISM и SBT. Поскольку AMT обеспечивает прямой доступ к сетевому оборудованию компьютера, атаку можно совершить удаленно — достаточно лишь проникнуть в локальную сеть.

Получив системные полномочия, злоумышленник может установить, например, шпионское ПО, которое останется невидимым для операционной системы и установленных под ней антивирусных пакетов. Это в теории позволит злоумышленнику сохранять невидимое присутствие в системе и во всей локальной сети неограниченно долгое время.

На данный момент, как указывает пресс-служба Intel, информации о реальной эксплуатации данной уязвимости не имеется.

«Мы вас предупреждали»

Официально уязвимость была обнаружена экспертом компании Embedi Максимом Малютиным в марте этого года. По утверждению Intel, данная уязвимость не затрагивает персональные пользовательские компьютеры — обычно процессоры клиентских систем не используют технологию vPro, частью которой являются уязвимые компоненты.

В свою очередь, сетевое ИТ-издание SemiAccurate утверждает, что ее редакция предупреждала Intel об этой проблеме еще несколько лет назад и что даже пользовательские компьютеры могут быть уязвимы, хотя бы и только локально. Авторы статьи на SemiAccurate также «серьезно подозревают, что данная уязвимость активно эксплуатируется».

«Даже если это не так в данный момент, ждать подобного развития событий долго не придется, — считает Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". — Уязвимость более чем серьезная, и предлагает немало заманчивых возможностей для злоумышленников. Вдобавок, Intel уже выпустил патч, но напрямую конечные пользователи его установить не смогут. Сперва свои прошивки должны будут обновить все вендоры систем на базе процессоров Intel. И даже если это будет сделано очень быстро, все равно пройдет еще немало времени, прежде чем необходимые обновления будут фактически установлены. То есть окно уязвимости будет огромным, а потенциальным жертвам — не будет числа».

Способы нейтрализации угрозы

Согласно рекомендациям Intel, администраторам в первую очередь следует определить, уязвима ли их система. Как это сделать, описывается в специальной публикации Intel.

Далее следует отключить или удалить вовсе систему Local Manageability Service. Intel опубликовала обширный документ, описывающий, как это осуществить.

А затем остается только ждать обновленных версий прошивок от вендоров систем.