0
本文作者: 天诺 | 2017-12-08 16:49 |
雷锋网消息,本周三,在“黑帽欧洲”组织所做的一次陈述中,其技术安全研究员Mark Ermolov和Maxim Goryachy 详细阐述他们在英特尔管理引擎里发现的固件缺陷,同时他们也发出警告称,对易损性方面的缺陷,目前提供的补丁也许还不够可靠。
实际上,早在两个星期前,这两位研究员曾收到来自英特尔公司的感谢,因为他们很负责任地找出了系统漏洞。与此同时, Chipzilla 公司也发布了10 份易损性风险通告,警示相关漏洞可能会影响到管理引擎,伺服平台服务以及可信执行引擎的运行。
英特尔管理引擎位于平台控制中心,是一个协处理器,可以通过一系列芯片集成来给企业vPro管理功能提供动力。该引擎配备了专属的MINIX3操作系统(一个类似Unix的操作系统),能够在设备主操作系统内核之下的一个级别中运行。
英特尔管理引擎是设计出来用来监控用户电脑的,也是通向主CPU里大多数处理程序和数据的入口。对于企业系统管理员来说,这个引擎对于管理PC群是非常有用的,但是对于那些黑客来说,该引擎也同样具有吸引力。
英特尔的这个漏洞可能会让黑客在受影响的硬件上运行任意代码,这些代码对于用户或主操作系统来说是不可兼得。由于担心这种攻击,Chipzilla执行了一个“关闭开关”,以符合美国国家安全局指定的IT安全标准HAP。
但是在今年初,这个“开关”被发现了,Ermolov和Goryachy认为,它其实并不能够防范10个被披露的漏洞中的3个漏洞,分别是:CVE-2017-5705、CVE-2017-5706、以及CVE-2017-5707。两人还表示,他们发现了一个可在本地被利用的堆栈缓冲区溢出,允许在任何带有英特尔管理引擎的设备上执行未签名的代码——即便该设备处于关机状态,或是处于被安全软件保护的状态。此外,Ermolov和Goryachy还生产已经采用了一个通用技术来绕过堆栈金丝雀(一个写入内存的值),通过检测变化来捕获溢出,这样就能允许他们使用返回导向编程(ROP)来运行可执行代码了。
尽管这些漏洞需要本地访问受影响的机器,或是通过远程IT管理系统访问机器凭证才能入侵系统,但是正如英特尔在今年五月份披露出的主动管理技术(AMT)漏洞,虽然当时也说只能通过本地访问才会有影响,但最后被证实该漏洞也有可能导致远程攻击。
Ermolov和Goryachy在此前给The Register发送的一封电子邮件声明中表示:
“鉴于英特尔芯片大规模渗透设备,潜在的攻击规模是非常大的,包括笔记本电脑和企业IT基础设施,所有这一切都十分脆弱。”
“这个问题很难解决——需要制造商升级固件,而且黑客在利用这些漏洞的时候,用户也很难发现。”
Dino Dai Zovi是安全公司Capsule8的联合创始人兼首席科技官,在一封写给The Register的电子邮件中,他认为Ermolov和Goryachy的研究发现中,最令人不安的地方就是该漏洞可能被黑客轻松利用,甚至都不需要打开目标系统的电脑机箱。Dino Dai Zovi说道:
“对于那些想要物理访问设备的黑客来说,这并不是个太大的障碍,就算一些笔记本电脑具备防篡改开关,黑客也可以轻松绕过这种保护。”
雷锋网了解到,虽然Ermolov和Goryachy两人针对CVE-2017-5705、CVE-2017-5706和CVE-2017-5707相关的漏洞硬件发布了补丁,但是还是无法排除完全不会被黑客攻击的可能性,因为攻击者可以覆盖管理引擎区域固件,然后在新版本上重写程序。
Dai Zovi说道:
“编写一个管理引擎固件旧版本,通常需要直接写进闪存芯片,或是利用脆弱的BIOS保护,这些其实都取决于厂商的特定配置。”
美国政府对于英特尔管理引擎漏洞也表达了密切关注,而且已经把问题提交给了有关部门。硬件制造商戴尔公司,Purism和System76现在已经停止供应搭载英特尔管理引擎的设备了。
Dai Zovi指出,除了这些硬件供应商在尝试解决问题之外,一些安全技术社区也在尝试开发一些开源代码项目,解决对英特尔管理引擎不信任的问题,比如me_cleaner和Heads。
当被问到英特尔公司是否有计划改变其管理引擎的工作方式,或是提供没有管理引擎的芯片时,该公司一位发言人建议可以向硬件供应商来咨询相关问题。该发言人表示:
“管理引擎提供了用户最关心的的一些重要功能,比如安全引导、双重身份验证、系统恢复、以及企业设备管理等。”
“具有特殊要求的系统所有者,应该联系设备制造商询问相关请求,但是如果去掉管理引擎芯片,势必会影响大多数主流产品所提供的功能,因此英特尔不支持这样去配置。”
雷锋网翻译自 theregister
雷峰网版权文章,未经授权禁止转载。详情见转载须知。