Боремося з дистанційним контролем: як вимкнути Intel ME



Технологія Intel ME (або AMT, Active Management Technology) є одним з найбільш загадкових і потужних елементів сучасних x86-платформ. Інструмент спочатку створювався в якості рішення для віддаленого адміністрування. Однак він має настільки потужною функціональністю і настільки непідконтрольний користувачам Intel-based пристроїв, що багато з них хотіли б відключити цю технологію, що зробити не так-то просто.

На минулому 17 і 18 травня в Москві форумі Positive Hack Days VI дослідники Positive Technologies Максим Гарячий і Марк Єрмолов представили кілька технік відключення Intel ME, супроводивши доповідь відеодемонстрацією процесу.

Що це і навіщо потрібно відключати

Підсистема Intel Management Engine (ME) являє собою додатковий «прихований» процесор, який присутній у всіх пристроях на базі чіпсетів Intel (не тільки в PC і ноутбуках, але і в серверах). Середовище виконання ME ніколи не «спить» і працює навіть при вимкненому комп'ютері (за наявності чергового напруги), а також має доступ до оперативної пам'яті, мережного інтерфейсу USB контролера і вбудованому графічному адаптеру.

Незважаючи на настільки великі можливості, що існують питання до рівня захищеності ME — раніше дослідники вже знаходили серйозні уразливості і вектори атак. Крім того, підсистема містить потенційно небезпечні функції — віддалене управління, NFC, прихований сервісний розділ (hidden service partition). Інтерфейси підсистеми ME недокументированы, а реалізація закрита.

Всі ці причини призводять до того, що багато людей розглядають технологію ME в якості «апаратної закладки». Ситуацію погіршує той факт, що з одного боку у користувача пристрою немає можливостей щодо відключення цієї функції, а з іншого виробник обладнання може допустити помилки в конфігурації МО.

Гарна новина полягає в тому, що способи відключення ME все ж існують.

Техніки відключення Intel ME

Дослідники компанії Positive Technologies Максим Гарячий і Марк Єрмолов в ході проведеного в Москві форуму Positive Hack Days VI представили доповідь, присвячений відключення Intel ME. Фахівці описали кілька технік відключення даної підсистеми:

  1. Засновані на збої ініціалізації ME;
  2. Через механізм оновлення мікропрограми ME;
  3. Недокументовані команди
  4. Недокументовані механізм, призначений для розробників апаратури — Manufacture Mode.
Дослідники встановили, що розробники апаратних платформ часто забувають вимикати режим Manufacture Mode, що дозволяє використовувати останній метод на великій кількості комп'ютерів без будь-яких додаткових витрат у режимі «реального часу».

Більшість методів відключення використовують вбудовані механізми ME, розроблені для вендорів пристроїв на платформі Intel. Всі вони докладно описані в презентації, яка опублікована на GitHub. посилання представлено демонстраційне відео відключення ME.

І тим не менш, виникає резонне питання: «чи Дійсно ME перестає працювати в повному обсязі при використанні її вбудованих механізмів відключення?» В якості доказу факту відключення МО дослідники наводять такий аргумент: ME працює в двох режимах використання пам'яті: тільки SRAM (вбудований в ME) і SRAM + UMA. UMA — це частина пам'яті хоста, яка використовується як подкачиваемая пам'ять (swap). Після ініціалізації DRAM-контролера хостом ME завжди перемикається в режим SRAM + UMA.

Таким чином, якщо ME дійсно виключена, то при відключенні на апаратному рівні доступу МО до UMA-пам'яті в довільний момент (через каналу VСm), в МЕ не буде відбуватися апаратних збоїв, пов'язаних з відсутністю даних і коду, які були витіснені в UMA пам'ять (такі апаратні збої призводять до аварійного відключення живлення з основних апаратних компонентів платформи). З іншого боку застосування цих методів дозволяє здійснити DoS-атаки на технологію AMT у разі її застосування для віддаленого керування.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.