Imagem: UnsplashA vulnerabilidade corrigida permitiu explorar um erro perigoso no subsistema Intel Management Engine e ainda pode estar presente em dispositivos de outros fornecedores que usam processadores Intel.
A Apple lançou uma atualização para o macOS High Sierra 10.13.4 que aborda a vulnerabilidade no firmware do computador pessoal (
CVE-2018-4251 ) descoberta pelos especialistas da Positive Technologies, Maxim Goryachy e Mark Ermolov. Os detalhes são fornecidos no
site de suporte técnico da
Apple .
A seguir, Maxim Goryachy descreve o problema: “A vulnerabilidade permite que um invasor com direitos de administrador obtenha acesso não autorizado a partes críticas do firmware, grave uma versão vulnerável do Intel ME e, por meio de sua operação, conserte secretamente no dispositivo. No futuro, ele poderá obter controle completo sobre o computador e realizar atividades de espionagem, sem a menor probabilidade de ser detectado. ”
Sobre o modo de fabricação
O Intel ME possui um modo de operação especial - o chamado Modo de Fabricação, destinado a ser utilizado exclusivamente pelos fabricantes de placas-mãe. Este modo fornece recursos adicionais que um invasor pode usar. Pesquisadores, incluindo nossa empresa (
Como se tornar o único proprietário do seu PC ), já falaram sobre os perigos desse modo e seus efeitos sobre a operação do Intel ME, mas muitos fabricantes ainda não desativam esse modo.
Enquanto no modo de fabricação, o Intel ME permite executar um comando especial, após o qual a região ME se torna gravável por meio do controlador SPI embutido na placa-mãe. Com a capacidade de executar código no sistema sob ataque e enviar comandos para o Intel ME, um invasor pode sobrescrever o firmware do Intel ME
, incluindo a versão vulnerável ao CVE-2017-5705, CVE-2017-5706 e CVE-2017-5707 e, portanto, execute código arbitrário no Intel ME, mesmo em sistemas com o patch instalado.
Verificou-se que no MacBook esse modo também está ativado. Embora o próprio firmware forneça proteção adicional contra um ataque ao reescrever regiões SPI Flash (se o acesso a uma região estiver aberto, o firmware não permite carregar o sistema operacional), os pesquisadores encontraram um comando não documentado que reinicia o Intel ME sem reiniciar o sistema principal, o que tornou possível contornar esta proteção. Vale ressaltar que um ataque semelhante pode ser realizado não apenas em computadores Apple.
A Positive Technologies desenvolveu um utilitário especial que permite verificar o status do Modo de fabricação. Você pode baixá-lo neste
link . Se o resultado da verificação mostrar que o modo está ativado, recomendamos que você entre em contato com o fabricante do seu computador para obter instruções sobre como desativá-lo. O utilitário foi desenvolvido para Windows e Linux, pois os usuários dos computadores Apple instalam a atualização acima.
Sobre o Intel Management Engine
O Intel Management Engine é um microcontrolador integrado ao chip Platform Controller Hub (PCH) com um conjunto de periféricos integrados. Por meio da PCH, quase todas as comunicações entre o processador e os dispositivos externos são realizadas, para que o Intel ME tenha acesso a quase todos os dados no computador. Os pesquisadores conseguiram encontrar um
erro que permite que o código não assinado seja executado dentro da PCH em qualquer placa-mãe para processadores da família Skylake e superior.
Sobre a escala do problema
Os chipsets Intel vulneráveis são usados em todo o mundo, de laptops domésticos e de trabalho a servidores corporativos. Uma
atualização lançada anteriormente pela Intel não excluiu a possibilidade de explorar as vulnerabilidades CVE-2017-5705, CVE-2017-5706 e CVE-2017-5707, pois se um invasor tiver acesso de gravação à região ME, ele sempre poderá registrar a versão vulnerável do ME e explorar a vulnerabilidade. nela.