Intel подтверждает наличие уязвимости в огромном количестве процессоров из разных сегментов

Аватар пользователя vutshim

Неделю назад мы писали о том, что в подсистеме Intel Management Engine найдена критическая уязвимость, которая позволяет получить доступ к огромному количеству ПК, основанных на CPU Intel. Тогда уточнялось, что речь шла о моделях поколения Skylake и новее.

Сегодня Intel подтвердила факт наличия уязвимости. Компания проверила не только Management Engine (ME), но и Server Platform Services (SPS) и Intel Trusted Execution Engine (TXE). Оказалось, что проблемы имеются у ME версий 11.0/11.5/11.6/11.7/11.10/11.20, а также у SPS 4.0 и TXE 3.0. А это в свою очередь означает, что проблема касается достаточно широкого списка процессоров.

Он включает поколения Skylake, Kaby Lake, восьмое поколение CPU, в которое пока входят модели Kaby Lake Refresh и Coffee Lake, Xeon Processor E3-1200 v5 и v6, семейства Xeon Processor Scalable и Xeon Processor W, CPU Atom C3000, семейство процессоров Apollo Lake линейки E3900, линейку Apollo Lake Pentium, а также процессоры Celeron N и J. Проще говоря, огромное количество настольных, мобильных и серверных процессоров, вышедших за последние годы.

Проблема усугубляется тем, что сама Intel, несмотря на всю закрытость той же подсистемы ME, не может исправить ситуацию выпуском патча. Такие заплатки должны выпустить производители системных плат либо готовых устройств, если речь о мобильном сегменте. А это, само собой, потребует времени.


Т.к. не всем понятно в чем проблема с уязвимостью то добавлю вторую часть статьи (более раннюю) где описана эта проблема.

Intel Management Engine — привычный для большинства пользователей ПК набор слов. Привычен он тем, что при установке операционной системы последняя требует драйверы для этого самого Intel Management Engine (IME).

Данная подсистема появилась более 10 лет назад и сейчас является неотъемлемой частью практически любого ПК с процессором Intel. Однако достаточно любопытным является тот факт, что информации о данной подсистеме крайне мало. По каким-то причинам Intel не раскрывает практически никаких подробностей.

Известно, что это отдельный микропроцессор, который на данный момент интегрируется в чипсеты. Известно, что он ответственен за работу многих процессов. К примеру, удалённого администрирования. Также известно, что данный микропроцессор запускает собственную операционную систему, которая работает отдельно от основной. Эта ОС называется Minix. Точнее, это закрытая версия ОС Minix.

Intel Management Engine, предположительно, имеет доступ ко многим или даже ко всем интегрированным устройствам ПК и может обращаться к оперативной памяти. Всё это, учитывая закрытость данной системы, долгое время настораживало специалистов по безопасности. И оказалось, что не зря.

Специалисты по безопасности нашли способ использовать Intel Management Engine для заражения ПК

Российская компания Positive Technologies обнаружила дыру в безопасности Intel Management Engine и смогла использовать её для заражения ПК. Благодаря уязвимости вредоносный код можно запустить практически на любом ПК с Intel Management Engine. То есть, на большинстве компьютеров в мире, хотя сторонние источники говорят, что способ пока работает лишь для CPU поколения Skylake и новее. Для атаки специалисты использовали порты отладки JTAG.

К слову, незадолго до того, как стало известно об уязвимости, в Сети появилась информация о том, что Google работает над удалением ОС Minix из своих ПК, основанных на процессорах Intel.


По простому - в ЛЮБОМ процессоре Интел есть ЕЩЕ ОДИН процессор. Полностью независимый от большого и который мало того что сам может исполнять некоторый код так еще и может управлять большим процессором. 
Т.е. в любое время Интел может что угодно сделать с любым компом где есть его процессоры. 

Авторство: 
Копия чужих материалов
Комментарий автора: 

Вопрос - надо ли иметь свой процессор или продолжать закупать чужое в стратегически важном секторе? А сколько еще уязвимостей не найдено или не озвучено. А сколько их есть в обычных сетевых платах, сюрприз - там то-же есть пусть небольшой, но процессор .

Комментарии

Аватар пользователя ivamat
ivamat(7 лет 10 месяцев)

надо ли иметь свой процессор или продолжать закупать чужое

Кто же сомневается, что надо! Только кто ж его сделает.

Аватар пользователя Kir2328
Kir2328(11 лет 2 месяца)

Да процессор то есть, но цена, не для конечного пользователя.

Аватар пользователя ivamat
ivamat(7 лет 10 месяцев)

но цена

Дело не в цене, а в понимании, что за этим стоит. А понимания нет. Как пример, вот есть понимание, что мост в Крым должен быть, и дело вовсе не в цене и сделают с опережением сроков. Мост считаю очень серьезным проектом. Здесь же какие то мрии о цифровой экономике, о майнинге. Люди в этом смысле не очень вменяемые. А задача, гораздо более важная чем строительство моста в Крым.

Аватар пользователя Kir2328
Kir2328(11 лет 2 месяца)

Дак процессор есть, но вы его не купите из за цены.

 

Аватар пользователя ivamat
ivamat(7 лет 10 месяцев)

вы его не купите из за цены

Я выше заметил, что дело не в цене, а в целеполагании. Вопрос стратегический. Если Intel это реализует, то у Вас вообще после 2020 года ни какой альтернативы не будет, что скажут, то и будете "кушать" и при чем тут GTA. Мы уже сейчас должны активно переползать на свою программно аппаратные средства.

Аватар пользователя Kir2328
Kir2328(11 лет 2 месяца)

Кроме интела есть и амд, да и к 2020 году эльбрусы будут уже доступны всем.

Аватар пользователя ivamat
ivamat(7 лет 10 месяцев)

Кроме интела есть и амд

Интел и амд это одна лавочка.

к 2020 году эльбрусы

Через три года? Вы сами верите в то, о чем говорите? Вообще то хорошо бы, но  мало верится.

Аватар пользователя Kir2328
Kir2328(11 лет 2 месяца)

Если экспорт интела к нам прекратится то наладят массовое производство влегкую.

Аватар пользователя Замполит
Замполит(10 лет 1 неделя)

будем надеяться что наши договорятся с пиндосами чтобы они запретили

волшебный пендаль

 

Аватар пользователя Замполит
Замполит(10 лет 1 неделя)

заставь в бюджетной сфере покупать ПК только на нашей платформе и с нашей ОС - как минимум несколько млн штук получится

 

Аватар пользователя ivamat
ivamat(7 лет 10 месяцев)

заставь в бюджетной сфере покупать

Что покупать? Свой процессор, а шире - платформа, это целая индустрия. Рывок в экономике. Ни кто не даст это делать. Сейчас задача все что осталось превратить в труху.

Аватар пользователя mse
mse(6 лет 9 месяцев)

Надо-же... Они уже какую по счёту редакцию железа делают. На ихних серверах базы МВД и миграционки крутятся. А это, оказуецца, приведение в "труху". Не знал, запишу, чтобы не путать.

Аватар пользователя ivamat
ivamat(7 лет 10 месяцев)

серверах базы МВД

Спасибо, не знал, тоже запишу для себя. Я думал кроме МВД у нас в стране еще многие используют вычислительную технику. Оказывается только МВД. Кстати, Вы сами тоже из МВД? Я вот не из МВД, но персоналку имею.., странно это как то.

Аватар пользователя zander
zander(9 лет 1 месяц)

Купите Эльбрус - кто запрещает? :))) Или Вам его должны подарить?

Аватар пользователя Evg_Ban
Evg_Ban(11 лет 7 месяцев)

надо ли иметь свой процессор

Ну давайте, ждемс.

Аватар пользователя RF77
RF77(12 лет 1 месяц)

Надо свой иметь, хотя бы ради альтернативы.

Но кто сказал что в наших процессорах никогда не будет ошибок ?

Комментарий администрации:  
*** Уличен в жалких манипуляциях ***
Аватар пользователя ivamat
ivamat(7 лет 10 месяцев)

не будет ошибок

Здесь речь разве об ошибках?

Аватар пользователя Волшебник Вголубомвертолете

В чем уязвимость то?

Комментарий администрации:  
*** Отключен (лидер бан-рейтинга + нарушение договоренности под которые согласились оставить) ***
Аватар пользователя iks525i
iks525i(10 лет 11 месяцев)

Обнаруженный Бэкдор и прочие специально сделанные закладки в демократическом обществе принято называть уязвимостью.... Это собирательный образ)

Аватар пользователя vutshim
vutshim(11 лет 6 месяцев)

Ну, скажем так, по заявленности это не бэкдор, а дополнительная подсистема для управления компом. Например -что бы можно было его по сети пробудить или еще какие совсем низкоуровневые операции сделать. То, что это еще и дыра - это отдельный разговор. 

Комментарий администрации:  
*** Уличен в жидких набросах ***
Аватар пользователя Волшебник Вголубомвертолете

Ну то есть они все что обрабатывает проц смогут видеть? 

А я читал давненько, что есть вообще устройства, которые на расстоянии в проц влазят..

Комментарий администрации:  
*** Отключен (лидер бан-рейтинга + нарушение договоренности под которые согласились оставить) ***
Аватар пользователя vutshim
vutshim(11 лет 6 месяцев)

Скажем так - хрен его знает что они там засунули. Может полный контроль над процом удаленно, может только некоторые части. Но даже вариант когда тебе удаленно отключат комп уже хреново в случае войны, или подсадят троян который уже точно сможет что-то сделать с компом. Например иранскую ядерную программу таким способом очень на долго притормозили когда разрушили обогатительную фабрику

Комментарий администрации:  
*** Уличен в жидких набросах ***
Аватар пользователя vutshim
vutshim(11 лет 6 месяцев)

Добавил вторую часть где больше написано

Комментарий администрации:  
*** Уличен в жидких набросах ***
Аватар пользователя Zbych
Zbych(6 лет 7 месяцев)

Детектор обнаружения дырищи в вашем устройстве

Intel-SA-00086 Detection Tool

 

Эта загрузка содержит две версии инструмента. Первый - это интерактивный инструмент графического интерфейса, который при запуске обнаруживает аппаратные и программные детали устройства и дает оценку риска. Эта версия рекомендуется, когда требуется локальная оценка системы.

Вторая версия инструмента - это исполняемый файл консоли, который сохраняет информацию об обнаружении в реестре Windows * и / или в файле XML. Эта версия более удобна для ИТ-администраторов, желающих выполнить массовое обнаружение на нескольких компьютерах, чтобы найти системы, предназначенные для обновления прошивки.

Аватар пользователя Veritas
Veritas(7 лет 9 месяцев)

Ах, как это прекрасно. Купили вы у мошенника устройство, а в нем чет неправильно эта самая система "нае..га вас" работает И мошенник такой - ой давайте я починю. Чеса, чеса.

Комментарий администрации:  
*** Отключен (дезинформация, невменяемое общение) ***
Аватар пользователя Zbych
Zbych(6 лет 7 месяцев)

не, Вы не правы. Троянчика заслать - дело святое!)) Такова природа людей. Ничего не попишешь)) Если на кого и катить бочку по-взрослому, то только на тех, кто ломал микроэлектронику в СССР. Вот эти настоящие твари и предатели. А что Intel, они обычная фабрика, которая сделала то, что нужно для интересов своей страны. Не нравится -  не покупайте! Об этой дыре уже сто лет известно. 

Аватар пользователя jamaze
jamaze(12 лет 2 месяца)

По простому - в ЛЮБОМ процессоре Интел есть ЕЩЕ ОДИН процессор

Не так. Он есть в чипсете, но без него проц не работает.

Ну а в целом - выпустят патч в БИОС, ничего страшного.

Аватар пользователя vutshim
vutshim(11 лет 6 месяцев)

В общем да, но тут речь про совсем простые обьяснения :) Да и в последнее время Интел все больше функций из чипа в проц пихает. Может уже и это перенесли.

Комментарий администрации:  
*** Уличен в жидких набросах ***
Аватар пользователя prior
prior(9 лет 11 месяцев)

Интел может и выпустит, а вендоры? а на старые платформ типа 1155 и 1150 ? Скаи, Каби и Кофе понятно что залатают. а остальным что делать?

Комментарий администрации:  
*** Отчислен (высокий бан-рейтинг, невменяемая политота) ***
Аватар пользователя jamaze
jamaze(12 лет 2 месяца)

В тексте речь идёт про заражение через jtag. Поэтому ответ простой - не подключайте устройств к jtag

Аватар пользователя vutshim
vutshim(11 лет 6 месяцев)

Тут еще один вариант нашли - мышки и клавиатуры. Вы уверены что эти устройсва не будут работать по USB с JTAG? Китайцы вполне могут на это пойти

Комментарий администрации:  
*** Уличен в жидких набросах ***
Аватар пользователя jamaze
jamaze(12 лет 2 месяца)

Думаю, к моменту массового появления мышек и клавиатур с хакерским уклоном, появятся патчи на Биос.

Аватар пользователя vutshim
vutshim(11 лет 6 месяцев)

Это при условии что китайцы вместе со всеми узнали про дыру, а не раньше открыли.И не все обновятся и не понятно с какой скоростью можно новые клавы и мыши с троянами сделать. 

Комментарий администрации:  
*** Уличен в жидких набросах ***
Аватар пользователя sevik68
sevik68(11 лет 10 месяцев)

Т.е. в любое время Интел может что угодно сделать с любым компом где есть его процессоры.

ну да.. выдернул инет-кабель и обломинго штеудуsmiley

Аватар пользователя vutshim
vutshim(11 лет 6 месяцев)

1. А не думали что там еще и беспроводной вариант может быть? Пусть антена такого размера будет работать только на 1км, но тем не менее

2. А зачем вам сейчас комп без сети? Через клавиатуру и принтер будете обмениваться информацией? Даже если и так уже одно это наносит колосальный экономический удар по стране.

Комментарий администрации:  
*** Уличен в жидких набросах ***
Аватар пользователя sevik68
sevik68(11 лет 10 месяцев)

А не думали что там еще и беспроводной вариант может быть?

мы вроде о настольных компах говорим, ну в крайнем случае о ноутах

какой там беспроводной вариант без участия пользователя?

или вы уже видели в смартах эти процы?wink

А зачем вам сейчас комп без сети?

ну знаете... масса работ не требует сети

а части этой массы сеть категорически противопоказана

Аватар пользователя Kir2328
Kir2328(11 лет 2 месяца)

Сеть кстати можно и оставить, просто выход в интернет перекрыть.

Аватар пользователя sevik68
sevik68(11 лет 10 месяцев)

видимый разрыв гораздо надёжней smiley

Аватар пользователя Nordicx86
Nordicx86(12 лет 2 месяца)

ага - хрен ты его перекроешь - тут собственно и заплатка в БИОСе не особенно поможет  - тут если строго только смена платформы. ТК  реально Главная дыра это не IME и его уязвимости, а доступность JTAG порта  на Любом USB и похоже что не исключая "виртуальные пробросы USB".

Комментарий администрации:  
*** Криптобес ***
Аватар пользователя СВВ
СВВ(9 лет 2 месяца)

простите, а в чем нет возможности незадекларированного интерфейса связи для IME установить, не видимый для внешнего процессора?

тот же zigbee адаптер, и организуя между ними сеть. опять же, если интенсивность обмена мала, то вероятность отлова этого сигнала на тех же установках контроля ПЭМИН мала, можно сказать ничтожна мала. а вот м... опасность велика, т.к. плотность насыщенности ИВТ техникой такова что даже 1км. это очень много, т.к. самоорганизуемыми сетями можно покрывать большие пространства, тут же и интернет вещей и старшие арм/мипсовые-процы,
там тоже чего только уже не напихано, даже если у процессоров чисто, то в чипе-посреднике, т.н. северном мосту в ПС платформе вполне можно это реализовать, особенно если есть под рукой и другие сетевые интерфейсы, те же вафли с блюзубами.

Аватар пользователя sevik68
sevik68(11 лет 10 месяцев)

слишком большой шум поднимется в случае детектирования самовольной активности на уровне например zigbee

для штеуда такой скандал недопустим

Аватар пользователя vutshim
vutshim(11 лет 6 месяцев)

Это если постоянно будет рабоать. А если только на прием до получения определенного сигнала - тогда никто не поймает. А сигнал может быть - начало войны или т.п. после которого уже репутация не важна, а важен максимальный урон.

Комментарий администрации:  
*** Уличен в жидких набросах ***
Аватар пользователя sevik68
sevik68(11 лет 10 месяцев)

ну источник сигнала должен быть тоже легализован

да и канал связи должен периодически тестироваться

так что укрыть это полностью почти невозможно

скорее при форс-мажоре могут хлопнуть компы которые окажутся к тому времени в сети

это тоже будет немалый улов

Аватар пользователя vutshim
vutshim(11 лет 6 месяцев)

скорее при форс-мажоре могут хлопнуть компы которые окажутся к тому времени в сети

это тоже будет немалый улов

Угу
А вот зачем тестировать канал? Там же не требуется постоянной передачи, только прием. Ну или выбрать частоту которая не используется т.к. не стандартная и раз в месяц делать выброс пакета на 1-2 сек. Не думаю что кто-то поймает, а если поймает то как-то поймет что это сигнал, а не какой-то шум.

Комментарий администрации:  
*** Уличен в жидких набросах ***
Аватар пользователя СВВ
СВВ(9 лет 2 месяца)

ну ты как ребёнок. тебе говорят что это тупо закладка категории "умри". т.к. инфу сливать - это надо ещё как-то идентифицировать как нужную, а не очередные "котики" или "няши-мяши".

поэтому если по этому каналу пошла интенсивная работа - то уже туши свет.

т.е. тупо комп как-бы подвисает, а в это время все ресурсы уходят на гроханье носителей информации и на подъем и удержание mesh-сети, с целью максимального распространения данного сигнала. ну а в штатном режиме - работа на R/O (слушать эфир) и распознавать в ленивом режиме в шуме сигнатуры этого сигнала. т.к. он может быть и шумоподобным в окне радиопрозрачности атмосферы, чтобы можно было например первично пустить сигнал со спутника (т.е. частоты gnss систем).

Аватар пользователя alx_me
alx_me(9 лет 9 месяцев)

Любая закрытая система, особенно написанная не вами, это дырень. Что тут обсуждать? Если вы параноик то это ещё не значит что за вами не следят(ц). Уже сотни раз озвучено и что? Ничего. На западе добрые эльфы. Если вы массово откажетесь покупать процессоры Wintel он вам в убыток их начнут продавать. Дарить будут. Потому что дурак он ценнее денег. Дураками сильны СГА(США). Естественно не своими.

Аватар пользователя Мурман
Мурман(9 лет 9 месяцев)

загнивание системы. Монополизм.

Аватар пользователя Аламар
Аламар(11 лет 8 месяцев)

Две фразы из статьи:

"Известно, что это отдельный микропроцессор, который на данный момент интегрируется в чипсеты. "

"По простому - в ЛЮБОМ процессоре Интел есть ЕЩЕ ОДИН процессор. "

Надо б либо крестик снять, либо трусы одеть - еще один процессор где? В чипсете или в ЦПУ?

По другим источникам он в чипсете, и производители матплат будут клепать обновления биоса для затыкания дыры.

Аватар пользователя LLORD
LLORD(8 лет 11 месяцев)

Да-да, тоже заметил, что своим упрощением автор исказил факты.

Там еще есть пункт, что для использования уязвимости использовали JTAG, т.е. использовали отладочный порт! Тут речь не о том, что взлом возможен удаленно, и даже не взломе через флэшку, а через отладочный порт на плате.

И тогда вопрос: а кто в здравом уме пустит шпиона внутрь компа?

Аватар пользователя vutshim
vutshim(11 лет 6 месяцев)

Intel® Management Engine (Intel® ME) - подсистема, встроенная в чипсет, предназначенная для различных задач связанных с мониторингом и обслуживанием компьютера во время сна, загрузки, а также в процессе его работы. Для корректной работы Intel ME потребуется драйвер , отсутствие которого приведёт к восклицательным знакам в "Диспетчере Устройств". Требуется ME для старта и первоначальной настройки материнской платы. Выход из строя Intel Management Engine (если плата/ноутбук при этом живы) чаще всего приводит к тому, что вентиляторы работают на полную катушку (без регулировки оборотов, чем в том числе и занимается Intel ME).

Кроме того, на базе ME реализованы другие технологии:

  • Intel AMT (удалённое администрирование/управление компьютером)
  • Intel AT (противоугонный модуль)
  • Intel SMB (урезанный/модифицированный вариант AMT для малого бизнеса)

Обращаем внимание на слова -  удалённое администрирование/управление компьютером  и противоугонный модуль. Что автоматически подразумевает что не обязательно кабель в JTAG тыкать что бы задействовать эту подсистему. Более полная статья про IME. https://vpro.by/intel-management-engine

 

Комментарий администрации:  
*** Уличен в жидких набросах ***

Страницы