Active Management Technology

Intel Active Management Technology — апаратна технологія, що дозволяє віддалено («out-of-band» — «позасмугово», по незалежному допоміжному каналу TCP/IP) керувати налаштуваннями і безпекою комп'ютера незалежно від стану живлення (віддалене включення/виключення комп'ютера) і стану ОС . Технологія доступна в настільних ПК на базі процесорів Intel Core 2 і ноутбуках на базі процесорів Intel Centrino з технологією Intel vPro. Для підключення необхідна система, що має набір мікросхем з підтримкою технології Intel AMT.^[1]

Принцип роботи

Докладніше: Intel Management Engine

AMT є частиною Intel Management Engine і працює на спеціалізованому мікроконтролері. Починаючи з версії 11, це процесор на основі Intel Quark, на якому запускається варіант операційної системи Minix 3; попередні версії використовували мікроконтролер архітектури ARC і операційну систему ThreadX. Мікросхема контролера знаходиться зазвичай на материнській платі або, у випадку AMT 1.0, на мережевій платі. Мікропрограма AMT записана на флеш-пам'ять SPI, зазвичай на той же чип, що зберігає код BIOS. Зберігання мікропрограми AMT в FWH (Firmware Hub) або в сховище, яке підключене через LPC, не підтримується.^[2]

До появи процесорів архітектури Nehalem, Intel ME був частиною північного моста. Новіші архітектури (починаючи з Intel 5 series) включили Intel ME до складу Platform Controller Hub.^[3]

Програмно AMT оновлюється одночасно з BIOS. Можливі оновлення тільки між мінорними версіями (остання цифра). Мажорна версія AMT залежить від чипсета і перехід між ними можливий лише при заміні чипсета і материнської плати.

Версії

• Intel AMT 9.0 — Чипсет Q87, та мобільний QM87 (Lynx Point). Видалено протокол SOAP(EOI).
• Intel AMT 8.0 — Чипсети Intel 7-ї серії Q75 та Q77 (Panther Point), мобільні QM77 та QS77;
• Intel AMT 7.0 — Чипсети Intel Q67 Express, QM67 та QS67;
• Intel AMT 6.0 — Платформи з процесорами Intel Core i5, Intel Core i7 і подтримкою vPro, чипсетами Q57, QM57 и QS57. Також системи на процесорах серії Xeon 3400 та Core i5, підтримкою vPro і чипсетом 3450;
• Intel AMT 5.0 — Intel Core 2 з vPro і чипсет Intel Q45 (ICH10);^[4]
• Intel AMT 4.1 — Появляється Intel AMT 4.0, доповненою технологією Intel Anti-Theft. Оновлення можливо на деяких мобільних платформах з чипсетом GM45 (ICH9M);
• Intel AMT 3.2 — Оновлення Intel AMT 3.0 з доповненням DASH 1.0 для спрощення конфігурування;
• Intel AMT 3.1 — Оновлення Intel AMT 3.0 для підтримки Linux (Red Hat і SUSE);
• Intel AMT 3.0 — Настільні платформи Intel з vPro та чипсетом Intel Q35 (ICH9), наприклад Intel DQ35MP;
• Intel AMT 2.6 — Intel AMT 2.5 з можливістю дистанційного конфігурування;
• Intel AMT 2.5 — Мобільні платформи Intel Centrino Pro на чипсетах GM965/PM965 (ICH8M);
• Intel AMT 2.0 — Настільні платформи Intel vPro на чипсеті Intel Q963/Q965 (ICH8), наприклад Intel DQ965GF;
• Intel AMT 1.0 — Платформи на чипсеті 82573E (ICH7), що використовують контроллер Gigabit Ethernet, наприклад Intel D975XBX2.

Проблеми безпеки

Огляд

Деякі дослідники вважають систему Intel Management Engine бекдором. У випадку компрометації зловмисниками ця система може бути використана як руткіт, завдяки якому буде отриманий повний контроль над комп'ютером жертви. При цьому у жертви відсутня будь-яка можливість дізнатись про компрометацію своєї системи з ураженого комп'ютера^[5].

В серпні 2017 року групі дослідників під керівництвом Дмитра Склярова з фірми Positive Technologies (PTE) вдалось відтворити таблиці коду Гаффмана, яким закодовані бінарні коди Intel Management Egine (Intel ME), та в результаті проведеного аналізу знайти спосіб безпечного вимкнення переважної частини системи Intel ME версії 11 (встановлена в мікропроцесори Intel сімейств Skylake та Kaby Lake: Core i-6000 та Core i-7000)^[6][7].

Знайдений ними метод покладається на режим High-Assurance Platform (HAP). Відомо, що цей режим був запропонований АНБ в 2009—2010 роки як частина концепції Trusted Computing Group (TCG) для особливо захищених комп'ютерів для використання в урядових проектах для зменшення площини для хакерських атак^[6].

Групі дослідників також вдалось встановити, що Intel ME працює на мікропроцесорі архітектури x86 сімейства Intel Quark, який інтегрований в чипсет (Platform Controller Hub) або в корпус мікропроцесора для мобільних платформ. Досліджена ними 11-та версія Intel ME працювала на операційній системі на ядрі Minix. Відомо, що попередні версії були побудовані на операційній системі реального часу ThreadX та мікроконтролерах ARC^[6].

Відомо про декілька вразливостей в системі Intel AMT: в травні 2017 року Intel підтвердила існування вразливості англ. Silent Bob is Silent (CVE-2017-5689)^[8][9][10]. Дана вразливість дає можливість зловмисниками отримати повний доступ до ураженої системи: зчитувати та змінювати будь-які дані, встановлювати шкідливе ПЗ (можливо навіть в мікрокоді апаратного забезпечення).

В червні 2017 року стало відомо про використання механізму Seral over LAN злочинним угрупуванням PLATINUM для прихованої передачі викрадених документів.^{[11][12][13][14][15][13][16][17][18]}

В листопаді 2017 року група дослідників з російської компанії Positive Technology повідомила, що ними був відкритий спосіб атаки на сучасні версії Intel ME через підсистему Joint Test Action Group (JTAG). Ця підсистема доступна через з'єднання через порт USB^[19].

SA 86

Вже 21 листопада 2017 року компанія Intel випустила порадник (англ. Security Advisory) SA-00086 яким підтвердила існування уразливостей в системах Intel Management Engine (ME), Server Platform Services (SPS) та Trusted Execution Engine (TXE). Компанія надала необхідні латки виробникам комп'ютерів та материнських плат, аби вони змогли випустити оновлення для усунення даних вад^[20].

Відомо, що дана вразливість присутня у продуктах, випущених протягом останніх двох років а також в Skylake (Core i3/i5/i7-6000, 2015). Окрім шостого покоління Core-i вона наявна у сьомому та восьмому поколіннях (Core i-7000/Kaby Lake, Core i-8000, Coffee Lake) та в споріднених з ними Celeron G, Pentium (Gold) G, Xeon E3-1200v5 та Xeon E3-1200v6 в яких використаний Management Engine ME версій від 11.0 до ME 11.7^[20].

Система Trusted Execution Engine TXE 3.0 наявна в чипсетах для Apollo-Lake сімейств Atom E3900, Celeron N3x50, Celeron J3x55, Pentium N4200, Pentium J4205^[20].

Система Server Platform Services SPS 4.0 наявна в сучасних чипсетах Xeon Scalable Processors (Xeon-SP) та споріднених з ними Xeon W, а також в Skylake-SP і Skylake-W^[20].

Виявлені уразливості отримали кодові позначення CVE-2017-5705, CVE-2017-5708, CVE-2017-5711 та CVE-2017-5712^[20].

Вади налаштування

В січні 2018 року дослідники компанії F-Secure оприлюднили доповідь в якій звернули увагу на вади процедури ініціалізації та налаштування системи Intel ME. Вони помітили, що в системах, в яких присутній Intel Management Engine але не здійснене її початкове налаштування існує можливість прихованого запуску та перехоплення прав адміністратора. Алгоритм дій такий:^[21]

• зловмисник повинен мати фізичний доступ до комп'ютера жертви протягом кількох хвилин;
• зловмисник перезавантажує комп'ютер та переходить в меню налаштування BIOS. Навіть якщо це меню захищене паролем зловмисник може обрати варіант англ. Intel Management Engine BIOS Extension (MEBx) та ввести фабричний пароль: admin.
• тепер зловмисник має лише змінити фабричний пароль на власний, увімкнути Intel ME з віддаленим доступом, та змінити значення параметру AMT opt-in на None.

Цих дій достатньо для компрометації комп'ютера жертви й можливості прихованого доступу до будь-яких його даних з локальної мережі.

Хоча дана вада не є уразливістю в звичному розумінні та потребує фізичного доступу до комп'ютера жертви, дослідники звертають увагу, що, тим не менш, така вкрай нескладна атака може бути здійснена навіть «прибиральницею» або просто вправним зловмисником, який здобуде доступ до комп'ютера жертви протягом бодай кількох хвилин^[21].

Захиститись також не складно: достатньо самому пройти процедуру налаштування Intel ME та встановити власний (безпечний) пароль, або ж вимкнути цю систему взагалі^[21].

Див. також

• Intel vPro
• Coreboot
• AMD Platform Security Processor

Примітки

1. Технологія Intel® Active Management — Опис [Архівовано 28 грудня 2007 у Wayback Machine.] (рос.)
2. Architecture Guide: Intel Active Management Technology [Архівовано 4 жовтня 2012 у Wayback Machine.]. Intel
3. Platforms II. Users.nik.uni-obuda.hu. Архів оригіналу (PDF) за 4 березня 2016. Процитовано 25 травня 2016.
4. Gelsinger Speaks To Intel And High-Tech Industry's Rapid Technology Cadence. Архів оригіналу за 30 серпня 2012. Процитовано 30 серпня 2012.
5. Damien Zammit (Jun 15 2016). Intel x86s hide another CPU that can take over your machine (you can't audit it). Boing Boing. Архів оригіналу за 6 травня 2021. Процитовано 30 серпня 2017.
6. Christof Windeck (29.08.2017). Intel Management Engine (ME) weitgehend abschaltbar. Heise Security. Архів оригіналу за 29 серпня 2017. Процитовано 29 серпня 2017.
7. Disabling Intel ME 11 via undocumented mode. Positive Technologies. 28 серпня 2017. Архів оригіналу за 2 серпня 2021. Процитовано 29 серпня 2017.
8. CVE - CVE-2017-5689. Cve.mitre.org. Архів оригіналу за 5 травня 2017. Процитовано 7 травня 2017.
9. Intel Hidden Management Engine - x86 Security Risk?. Darknet. 16 червня 2016. Архів оригіналу за 26 серпня 2017. Процитовано 7 травня 2017.
10. Garrett, Matthew (1 травня 2017). Intel's remote AMT vulnerablity. mjg59.dreamwidth.org. Архів оригіналу за 29 серпня 2017. Процитовано 7 травня 2017.
11. Sneaky hackers use Intel management tools to bypass Windows firewall. Архів оригіналу за 9 червня 2017. Процитовано 10 червня 2017.
12. Tung, Liam. Windows firewall dodged by 'hot-patching' spies using Intel AMT, says Microsoft - ZDNet. Архів оригіналу за 10 червня 2017. Процитовано 10 червня 2017.
13. PLATINUM continues to evolve, find ways to maintain invisibility. Архів оригіналу за 10 червня 2017. Процитовано 10 червня 2017.
14. Malware Uses Obscure Intel CPU Feature to Steal Data and Avoid Firewalls. Архів оригіналу за 9 червня 2017. Процитовано 10 червня 2017.
15. Hackers abuse low-level management feature for invisible backdoor. iTnews. Архів оригіналу за 31 серпня 2017. Процитовано 10 червня 2017.
16. Vxers exploit Intel's Active Management for malware-over-LAN • The Register. www.theregister.co.uk. Архів оригіналу за 10 червня 2017. Процитовано 10 червня 2017.
17. Security, heise. Intel-Fernwartung AMT bei Angriffen auf PCs genutzt. Security. Архів оригіналу за 9 червня 2017. Процитовано 10 червня 2017.
18. PLATINUM activity group file-transfer method using Intel AMT SOL. Channel 9. Архів оригіналу за 9 червня 2017. Процитовано 10 червня 2017.
19. Richard Chirgwin (9 Nov 2017). Intel's management engine - in most CPUs since 2008 - can be p0wned over USB. The Register. Архів оригіналу за 10 листопада 2017. Процитовано 10 листопада 2017.
20. Christof Windeck (21.11.2017). Intel stopft neue Sicherheitslücken der Management Engine (SA-00086). Heise Online.
21. A Security Issue in Intel’s Active Management Technology (AMT). F-Secure. 12 січня 2018. Архів оригіналу за 15 січня 2018. Процитовано 15 січня 2018.

Посилання

• Технологія Intel Active Management [Архівовано 29 серпня 2012 у Wayback Machine.]

Про проблеми безпеки

• Огляд деяких проблем з технологією Intel ME [Архівовано 2 березня 2019 у Wayback Machine.]
• CERT-EU Security Advisory 2017—025 [Архівовано 1 грудня 2017 у Wayback Machine.]
• Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege [Архівовано 1 грудня 2017 у Wayback Machine.]
• Intel® Management Engine Critical Firmware Update (Intel SA-00086) [Архівовано 23 листопада 2017 у Wayback Machine.]