英特尔管理引擎被缓冲区溢出

安全研究人员在黑色帽子欧洲的斯内巴举起盖子


星期三,在演讲中 黑色帽子欧洲,积极技术安全研究人员Mark Ermolov和Maxim Goryachy计划解释他们在英特尔管理引擎11中发现的固件缺陷,并警告漏洞的供应商修补程序可能还不够。

两周前,该货币对从英特尔致力于与公司合作,披露突发责任。当时,Chipzilla发表了 10漏洞通知 影响其管理引擎(ME),服务器平台服务(SPS)和可信执行引擎(TXE)。

驻留在平台控制器集线器中的英特尔管理引擎是一个协处理器,可为公司跨各种芯片系列提供公司的VPRO管理功能。它有自己的操作系统,MINIX 3,一种类似的操作系统,它在设备主操作系统内核下方的级别运行。

这是一台用于监控计算机的计算机。在该位置,它可以访问主CPU上的大多数进程和数据。对于管理员,它对管理PC的车队很有用;它同样吸引黑客为积极的​​技术被称为“上帝模式”。

英特尔引用的缺陷可能让攻击者在受影响的硬件上运行任意代码,该硬件对用户或主操作系统不可见。对这种攻击LED CHIPZILLA的恐惧实现了一个关闭交换机,符合NSA开发的IT安全程序,称为HAP。

但是拥有 确定了此交换机 今年早些时候,Ermolov和Goryachy蔑视它未能防止在十个披露中发现的三种漏洞:CVE-2017-5705,CVE-2017-5706和CVE-2017-5707。

Duo表示他们发现了一个本地利用的堆栈缓冲区溢出,即使设备已关闭或保护安全软件,也允许在任何带有英特尔ME 11的设备上执行无符号代码。

他们声称已经采用了一种通用技术来绕过堆栈金丝雀,写入存储器的值以通过变化检测捕获溢出,从而允许它们使用可执行代码使用 返回面向的编程.

虽然漏洞需要通过远程IT管理系统访问受影响的机器或凭证来访问机器,但是一个主动管理技术(AMT)缺陷 英特尔在5月份披露 提高远程攻击的可能性。

“鉴于Intel芯片的设备大规模渗透,攻击的潜在规模很大,从笔记本电脑到企业IT基础架构的一切都很脆弱,”该对在电子邮件发送给的声明中说: 企业技术新闻.

“这样的问题很难解决 - 要求制造商升级固件,并且攻击者利用它可能同样难以检测。”

Dino Dai Zovi,Celity Biz Capsule8的联合创始人和首席技术官,在电子邮件中 企业技术新闻据说研究中最令人不安的方面是,在没有需要打开目标系统的外壳的情况下可能会被利用。

“这不是具有物理访问的攻击者的巨大障碍,但随着一些笔记本电脑有案例篡改开关,它能够绕过这种保护,”他说。

Ermolov和Goryachy为CVE-2017-5705,CVE-2017-5705和CVE-2017-5707相关的缺陷硬件的抗议补丁并不排除剥削的可能性,因为攻击者可以访问ME-REAMET固件可以覆盖它与漏洞版本进行漏洞。

“写一个旧版ME固件通常需要直接写入闪存芯片或利用弱BIOS保护,这将取决于供应商的特定配置,”戴佐维士说。

美国政府对我剥削的担忧使其成为私营部门。硬件供应商戴尔,Purism和System76现在提供与英特尔的禁用装备。谷歌一直在努力 nerf. (不可扩展的固件),基于的开源软件系统 U-Root. 用小Linux内核和initramfs替换UEFI和Intel ME(它安装了根文件系统)。

戴佐维观察到除了这些供应商选项外,“安全社区通过开发许多开源项目来禁用它来响应对我的不信任,”如 me_cleaner..

询问英特尔是否有任何计划改变其管理引擎的工作方式或提供芯片而没有我,建议应该针对硬件供应商。

“管理引擎(ME)提供了重要的功能我们的用户关心,包括安全引导,双因素认证,系统恢复和企业设备管理等功能,”发言人表示。

“具有专业要求的系统所有者应联系设备制造商的这种要求。但是,由于任何此类配置都必须删除大多数主流产品所需的功能,因此英特尔不支持此类配置。” ®


咬住它的手©1998-2021