الصورة: Unsplashسمحت الثغرة الثابتة باستغلال خطأ خطير في النظام الفرعي Intel Management Engine وقد تظل موجودة في أجهزة البائعين الآخرين الذين يستخدمون معالجات Intel.
أصدرت Apple تحديثًا لنظام macOS High Sierra 10.13.4 يعالج الثغرة الأمنية في البرامج الثابتة للكمبيوتر الشخصي (
CVE-2018-4251 ) التي اكتشفها خبراء التقنيات الإيجابية Maxim Goryachy و Mark Ermolov. تتوفر التفاصيل على
موقع الدعم الفني لشركة Apple .
إليك كيف يصف Maxim Goryachy المشكلة: "تسمح الثغرة للمهاجم الذي يتمتع بحقوق المسؤول بالوصول غير المصرح به إلى الأجزاء المهمة من البرنامج الثابت ، وكتابة نسخة ضعيفة من Intel ME هناك ومن خلال تشغيله بشكل سري على الجهاز. في المستقبل ، سيكون قادرًا على التحكم الكامل في الكمبيوتر وتنفيذ أنشطة التجسس ، دون أدنى احتمال للكشف عنه. "
حول وضع التصنيع
تتمتع Intel ME بوضع تشغيل خاص - ما يسمى وضع التصنيع ، وهو مخصص للاستخدام حصريًا من قبل الشركات المصنعة للوحات الأم. يوفر هذا الوضع إمكانات إضافية يمكن للمهاجم استخدامها. تحدث باحثون ، بما في ذلك شركتنا (
كيف تصبح المالك الوحيد لجهاز الكمبيوتر الخاص بك ) بالفعل عن مخاطر هذا الوضع وتأثيره على تشغيل Intel ME ، ولكن العديد من الشركات المصنعة لا تزال لا توقف هذا الوضع.
أثناء وجودك في وضع التصنيع ، تتيح لك Intel ME تنفيذ أمر خاص ، وبعد ذلك تصبح منطقة ME قابلة للكتابة من خلال وحدة تحكم SPI المدمجة في اللوحة الأم. امتلاك القدرة على تشغيل التعليمات البرمجية على النظام الذي يتعرض للهجوم وإرسال أوامر إلى Intel ME ، يمكن للمهاجم الكتابة فوق برنامج Intel ME الثابت
، بما في ذلك الإصدار المعرض إلى CVE 2017-5705 و CVE-2017-5706 و CVE-2017-5707 ، وبالتالي تنفيذ التعليمات البرمجية التعسفية على Intel ME حتى على الأنظمة التي تم تثبيت التصحيح عليها.
اتضح أنه في MacBook يتم تشغيل هذا الوضع أيضًا. على الرغم من أن البرنامج الثابت نفسه يوفر حماية إضافية ضد الهجمات على الكتابة فوق مناطق SPI Flash (إذا كان الوصول إلى منطقة ما مفتوحًا ، فإن البرنامج الثابت لا يسمح بتحميل نظام التشغيل) ، فقد وجد الباحثون أمرًا غير موثق يعيد تشغيل Intel ME دون إعادة تشغيل النظام الرئيسي ، مما جعل من الممكن التحايل على هذه الحماية. تجدر الإشارة إلى أنه يمكن تنفيذ هجوم مماثل ليس فقط على أجهزة كمبيوتر Apple.
طورت إيجابية التقنيات أداة خاصة تسمح لك بالتحقق من حالة وضع التصنيع. يمكنك تنزيله من هذا
الرابط . إذا أظهرت نتيجة الفحص أن الوضع قيد التشغيل ، فإننا نوصي بالاتصال بالشركة المصنعة لجهاز الكمبيوتر الخاص بك للحصول على إرشادات حول إيقاف تشغيله. تم تصميم الأداة المساعدة لنظامي التشغيل Windows و Linux ، نظرًا لأن مستخدمي أجهزة كمبيوتر Apple يقومون فقط بتثبيت التحديث أعلاه.
حول محرك إدارة Intel
محرك Intel Management Engine هو متحكم دقيق مدمج في شريحة لوحة التحكم في المنصة (PCH) مع مجموعة من الأجهزة الطرفية المتكاملة. من خلال PCH ، يتم إجراء جميع الاتصالات تقريبًا بين المعالج والأجهزة الخارجية ، لذلك تتمتع Intel ME بالوصول إلى جميع البيانات تقريبًا على الكمبيوتر. تمكن الباحثون من العثور على
خطأ يسمح بتنفيذ التعليمات البرمجية غير الموقعة داخل PCH على أي لوحة أم لمعالجات عائلة Skylake والإصدارات الأحدث.
حول حجم المشكلة
يتم استخدام شرائح Intel الضعيفة في جميع أنحاء العالم ، من أجهزة الكمبيوتر المحمولة في المنزل والعمل إلى خوادم المؤسسة. لم يستبعد
التحديث الذي أصدرته Intel سابقًا إمكانية استغلال الثغرات CVE-2017-5705 و CVE-2017-5706 و CVE-2017-5707 ، لأنه إذا كان لدى المهاجم حق الوصول للكتابة إلى منطقة الشرق الأوسط ، يمكنه دائمًا تسجيل الإصدار القابل للتأثر من ME واستغلال الثغرة الأمنية فيها.