Intel Management Engine (ME) - подсистема, которая встроена во все современные компьютерные платформы (десктопы, лэптопы, серверы, планшеты) с чипсетами компании Intel. Эта технология многими воспринимается как аппаратная «закладка», и на то есть причины. Достаточно сказать, что Intel ME является единственной средой исполнения, которая:
- работает даже тогда, когда компьютер выключен (но электропитание подаётся);
- имеет доступ ко всему содержимому оперативной памяти компьютера;
- имеет внеполосный доступ к сетевому интерфейсу.
Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто. Каждый микропроцессор компании Intel работает под контролем неотключаемой штатной аппаратно-программной компоненты Intel Management Engine (ME). Intel ME имеет доступ практически ко всем данным на компьютере и возможность исполнения стороннего кода.
При инициализации системы Intel ME загружает свой код из флэш-памяти системы. Это позволяет Intel Management Engine работать до запуска основной операционной системы. Для хранения данных во время выполнения процессор управления Intel имеет доступ к защищенной области системной памяти (в дополнение к небольшому количеству встроенной кэш-памяти для более быстрой и эффективной обработки).
Intel ME выполняет различные задачи, пока система находится в спящем режиме, во время процесса запуска и когда ваша система работает. Без ME не возможна загрузка процессора. ME имеет полный доступ к памяти (без всякого ведома на то родительского ЦПУ); имеет полный доступ к TCP/IP стеку и может посылать и принимать пакеты независимо от операционной системы, обходя таким образом её файрволл. ME имеет свой MAC-адрес и IP-адрес для своего дополнительного интерфейса, с прямым доступом к контроллеру Ethernet. Каждый пакет Ethernet-траффика переадресуется в ME даже до достижения операционной системы хоста, причём такое поведение поддерживается многими контроллерами, настраиваемыми по протоколу MCTP.
Полный круг задач, выполняемых зашифрованным программным обеспечением на процессоре ME, сообществу IT-профессионалов всего мира до сих пор не известен. Выключить ME на современных компьютерах невозможно. Это связано прежде всего с тем, что именно эта технология отвечает за инициализацию, управление энергопотреблением и запуск основного процессора. Сложности добавляет и тот факт, что часть кода «жестко прошита» внутри микросхемы PCH, которая выполняет функции южного моста на современных материнских платах.
Компонента ME постоянно работает, даже если микропроцессор Intel переведен в спящий режим. Встроенное ПО компоненты ME зашифровано. Компонента Intel МЕ фактически представляет собой автономный сверхминиатюрный компьютер, встроенный в РСН или корпус микропроцессора Intel. Этот компьютер достаточно мощный, на нем используется разработанный компанией Intel вариант операционной системы типа Unix, в состав встроенного ПО входит web-сервер. Компьютер ME может общаться со внешним миром от своего имени, используя встроенные в микросхему Intel контроллеры проводных и беспроводных сетей. Это общение необнаружимо средствами операционной системы и пользовательского ПО, исполняющимися на микропроцессоре Intel.
В то же время, сама компонента Intel ME имеет 100% доступ ко всем потокам данных входящим и выходящих из «микропроцессора Intel», имеет наивысший уровень и привилегии доступа ко всем аппаратным ресурсам и всем процессам, происходящим на «микропроцессоре Intel», будучи аппаратно защищена от любого доступа со стороны ядра ОС или даже гипервизора, не говоря уже о программах пользовательского уровня. Эта компонента может цензурировать и/или фальсифицировать потоки данных, приходящих извне к пользовательским ядрам, замедлять или искажать работу этих ядер или вообще отключить их, оставшись единственным птенцом в гнезде процессорных ядер микропроцессора Intel.
Management Engine функционирует всегда, даже когда ПК выключен, в этом случае источником энергии служит батарейка CMOS-памяти, а в ноутбуке дополнительно аккумулятор. Intel ME поставляется в большинстве современных материнских плат с процессорами Intel и реализован в виде отдельного микропроцессора, работающего независимо от CPU и выполняющего задачи, которые необходимо отделить от операционной системы, такие как обработка защищённого контента (DRM), реализация модулей TPM (Trusted Platform Module) и низкоуровневые интерфейсы для мониторинга и управления оборудованием. Начиная с Intel ME 11 в прошивке используется отдельная операционная система, основанная на коде ОС MINIX, которая работает параллельно с основной ОС без привлечения центрального процессора. Компрометация Intel ME позволяет получить полный доступ ко всему системному окружению, при том, что вредоносная активность будет незаметна из основной ОС.
Часть уязвимостей специфична для интерфейса удалённого управления оборудованием Active Management Technology (AMT), который используется на серверных системах и некоторых бизнес-моделях ноутбуков. Уязвимости позволяют выполнить произвольный код в контексте окружения AMT при наличии удалённого доступа к интерфейсу. Атакующий должен знать параметры аутентификации для подключения к AMT, но также может атаковать необновлённые системы с ранее найденной уязвимостью, позволяющей подключиться с пустым паролем. Сам по себе доступ к AMT уже предоставляет достаточный набор средств для совершения атаки на операционную систему, например, можно отключить UEFI Secure Boot для загрузки неверифицированных компонентов. Предоставляемая новыми уязвимостями возможность выполнения кода дополнительно позволяет манипулировать работой AMT, например отключить индикатор режима мониторинга и организовать скрытое наблюдение за содержимым экрана (при штатном режиме мониторинга на экран выводится рамка, уведомляющая пользователя о наблюдении).
Другая часть уязвимостей позволяет выполнить код в контексте ядра прошивки Intel ME, имея локальный доступ к основной системе. Уязвимости могут применяться для запуска вредоносного кода вне области видимости основной ОС и компрометации механизма Intel PTT (Platform Trust Technology), позволяющего выполнять модули TPM (Trusted Platform Module) с защищёнными обработчиками, например, используемыми для выполнения операций шифрования и хранения ключей в отдельном от операционной системы окружении. Уязвимости в Intel ME дают возможность получить доступ к этому окружению, в том числе к хранящимся там EK-ключам (Endorsement Key), используемым для идентификации модулей TPM, что сводит на нет уровень доверия к TPM-обработчикам.
Уязвимости также потенциально могут использоваться для обхода средств для загрузки в Intel ME только прошивок, заверенных цифровой подписью. Так как уязвимость эксплуатируется при обработке неподписанных данных, атакующий может изменить эти данные и добиться эксплуатации уязвимости при каждой загрузке Intel ME, после чего отключать Boot Guard и загружать любой код, полностью контролируя состав прошивки. Так как после загрузки окружение становится подконтрольным злоумышленнику и невозможно доверять информации из Intel ME в уже загруженной системе, единственным вариантом восстановления остаётся ручная перепрошивка Flash через SPI (для большинства компаний дешевле будет купить новое оборудование).
Начиная с PCH 100-й серии компания Intel полностью переработала эту микросхему. Был осуществлен переход на новую архитектуру встроенных микроконтроллеров — с ARCompact компании ARC на x86. За основу был выбран 32-битный микроконтроллер Minute IA (MIA), который используется в микрокомпьютерах Intel Edison и SoC Quark. Он основан на дизайне весьма старого, скалярного микропроцессора Intel 486 с добавлением системы команд (ISA) от процессора Pentium. Однако для PCH компания выпускает данное ядро с применением 22-нм полупроводниковой технологии, получая высокую энергоэффективность микроконтроллера. Теперь таких ядер в новом PCH три: Management Engine (ME), Integrated Sensors Hub (ISH) и Innovation Engine (IE). Последние два могут активироваться и деактивироваться в зависимости от модели PCH и целевой платформы, а ME-ядро работает всегда.
Integrated Sensors Hub (ISH). Концентратор датчиков - это микроконтроллер/ сопроцессор/DSP, который помогает интегрировать данные от различных датчиков и обрабатывать их. Эта технология может помочь разгрузить эти задания от основного центрального процессора, тем самым экономя потребление батареи и обеспечивая повышение производительности.
Innovation Engine (IE). IE - это крошечный сопроцессор (микроконтроллер), интегрированный в наборы серверных микросхем Intel, который обеспечивает платформу, необходимую для разработчиков систем для создания своих собственных высоко настраиваемых прошивок. С архитектурной точки зрения IE очень похож на Intel Management Engine (ME), но спроектирован как «открытый движок», позволяющий разработчикам систем разрабатывать свои собственные дифференцирующие микропрограммы. IE дополняет ME, и оба присутствуют, начиная с введения чипсета Lewisburg PCH.
Версия сайта для слабовидящих