0
Management Engine, är en central komponent i modern Intel-kretsar, skulle kunna ge en angripare med en kraftfull bakdörr om äventyras.
Bild: Intel
Det verkar vissa statliga kunder kan begära Intels alltid på-Management Engine (MIG) ‘master controller” för sina Processorer för att vara inaktiverad.
Det är inte en möjlighet för allmänheten, men forskare vid ryska säkerhetsföretaget Positiva Teknik har hittat ett sätt att använda dessa regeringen-bara-privilegier för att inaktivera MIG.
För MIG är en central komponent i modern Intel marker som om äventyras kan ge en angripare med en kraftfull bakdörr. Som forskare observera, JAG kan inte vara helt handikappade på grund av sin roll i att initiera maskinvara, energisparfunktioner och lansering av huvudprocessorn.
Säkerhet forskare har länge varit orolig av Intel för MIG eftersom det är omöjligt för någon men Intel för att revision för eventuella bakdörrar, vilket har lett till många försök att inaktivera det, inklusive me_cleaner projektet.
Oro över att det togs upp igen i Maj efter det att ett kritiskt fel som finns i Intel Active Management Technology firmware, ett företag har för remote PC-ledning som löper på MIG.
AMT bugg uppmanas EFF: s samtal på Intel för att tillhandahålla ett sätt att inaktivera eller begränsa MIG, som det som beskrivs som en “papperslösa master controller för din CPU”.
Utan en handikappande mekanism och en större öppenhet från Intel, EFF varnade för att en Intel-kretsar kan inte vara säkra att använda i kritisk infrastruktur system.
Positiva Teknik forskare Mark Ermolov och Maxim Goryachy upptäckt att Intel MIG kan inaktiveras genom att sätta en “HAP-läge aktivering lite” som finns i MIG firmware kod. Forskarna hittade ett fält i MIG firmware-filer som kallas ‘reserve_hap” med en kommentar till det om “Hög Säkerhet Plattform aktivera”.
HAP hänvisar till den AMERIKANSKA regeringens Hög Säkerhet Plattform Program, en säker it-programmet som drivs av NSA i samarbete med tech-industrin. Enligt Bleeping Dator, inaktivera MIG kräver att den relevanta biten till ‘1’.
Intel bekräftat att Positiva Teknik som papperslösa HAP-läge aktivering bit är närvarande för att stödja kunder som deltar i HAP program.
“Som svar på önskemål från kunder med specifika krav vi ibland utforska ändring eller inaktivera vissa funktioner,” Intel sade i ett uttalande.
“I detta fall, med de ändringar som gjordes på begäran av tillverkare av utrustning för att stödja sina kunders utvärdering av den AMERIKANSKA regeringens Hög Säkerhet Plattform program. Dessa ändringar genomgick en begränsad validering cykel och inte är en officiellt stöd konfiguration.”
Ermolov och Goryachy spekulera i att HAP läget är utformat för att minska risken för sida-kanal läckor.
Forskarna har gett ett verktyg på GitHub för andra att inaktivera MIG utan Intel: s bistånd, men varna användarna kan förstöra sin enhet genom att använda det.
Ändå har forskarna som ett sätt att inaktivera MIG efter den hårdvara har initierats, och de viktigaste processor har börjat.
0