Как стать автором
Обновить

Комментарии 44

Статья — огонь, Хабр — торт, всем причастным — респект и уважуха.
Ждем статей про внутренее устройство железа и прошивки МЕ, уверен, что вам всем есть что рассказать о них.

Где здесь про "выключенный компьютер"?

МЕ работает от дежурного напряжения, и потому может исполнять свой код даже на «выключенном» компьютере. Ясно, что для взлома его все-таки потребуется включить, зато потом можно творить свои темные дела и на «выключенном». Согласен с тем, что заголовок несколько громче, чем следовало бы, но ради содержимого я готов это простить.

Он-то работает… а вот работает ли сеть и жёсткий диск?
В общем кроме как "сидеть и ждать" никакие другие "темные дела" на выключенном компьютере в голову не приходят.

AMT-интерфейс работает, жесткий диск — нет, но для изменения кода в IME хард не нужен. А чем плохо «сидеть и ждать»? Ещё у Intel есть технология конфигурации с другого хоста, можно в качестве другого хоста подсунуть взломанный IME, и он заразит соседа в результате, а все компы «выключены». Кроме того, IME прекрасное место для точек присутствия APT, что ещё и плохо определяется антивирусными решениями (по сетевой активности можно распознать, но вроде как ни по чему ещё).
ну теоретически могут быть команды на пробуждение, или не полное пробуждение а включение каких то компонентов, например сети.
Интересно, а могут быть команды на включение компьютера… Тут и до восстания машин недалеко)
У меня было так, компьютер посреди ночи проснулся, сделал апдейты и выключился. Я про восстание машин подумал. (Компьютер был полностью выключен)
У виндов есть в планировщике галка «Разбудить ПК для выполнения задания». Скорее всего, на эту нарвались.
А что мешает из ME его разбудить?
Можно и на полное. На многих ноутбуках лампочки «power» и «Mic ON» управляется программно, HDD просто нету, так что их можно преспокойно включить, включить микрофон и обрабатывать себе данные потихоньку. Главное — не слишком сильно «напрягать» зверушку, а то охлаждение включится.
[quote]
Детальное описание внутреннего устройства Intel ME и его компонентов можно найти в работах: [1], [3], [4].[/quote] Вы слышали про HTML? На нем работает интернет. Рассказываться про ссылки? Ну хоть на свои сноски внизу поста можно поставить ссылки? А сделать ссылками все из них, а не только три?
А за что минусы? Сам ненавижу эти сноски. Приходится листать вниз, если во время чтения заинтересовался.
На многих иностранных форумах их используют, бесит до невозможности.
Стандартный формат для публикаций, используется везде — от курсовых работ в ВУЗах до журналов и книг.
в курсовых нет гипертекста…
Это — стандарт публикаций, только и всего. «Работающий» к тому же в печатном виде.
Стандарт бумажных публикаций. Если бы публикации были в гипертексте, то ссылки бы зашивали в сам текст, как и оглавление с автопереходом на нужный раздел, так и анимированные картинки, проигрывание звука, демонстрация работы кода, и много чего ещё. Но мы ведь с вами эту статью не на бумаге сейчас читаем, верно?
Но мы ведь с вами эту статью не на бумаге сейчас читаем, верно?

Вполне можем распечатать. Не, я не против гипертекста, это было бы глупо. Я против только гипертекста. Потому что частенько ссылку на что-то, втч источник, делают как ссылку приякоренную к какому-то слову. Такая ссылка теряется при печати, это былинный отказ наравне с текстом в виде картинки. Самое то — стиль Вики — и цифровая ссылка есть и гипертекстовая привязка. Граждане довольны, расходятся по домам.

Видать кто-то Markdown забыл включить.

Ну всё, Интел, это было последней каплей.
*ушел ставить me_cleaner и coreboot*
Интересно, а можно ли сделать на основе этой штуки ipkvm? Есть ли реализации подобного?
НЛО прилетело и опубликовало эту надпись здесь
Да, уже есть. Технология называется Intel AMT
Реализации есть, но исполнение хромает. В моей ситуации: Intel® DQ67EP + Intel® Xeon® E3-1260L. Оба поддерживают vPro. Но настроить не получилось, подключиться по vnc так и не смог. Плюс многие утилиты уже не доступны с официального сайта intel.
Статья имеет слишком громкий заголовок, не соответствующий содержимому. Фактически, в ней рассказывается, как обойти программную защиту на компьютере, к которому имеется полный физический доступ (включая возможную аппаратную модификацию). В принципе, аналогичного результата при таких условиях можно достичь, я думаю, на вообще любом компьютере.
Выполнение этих условий позволяет атакующему получить доступ к ME региону удалённо.

Тут меня заинтересовало — предоставляет ли AMT возможность удалённой модификации ME региона, или требуется ручная перепрошивка (физический доступ)?
Не соглашусь с Вами:
1. доступ должен быть локальный (возможность запуска ПО с правами администратора)
2. Подразумевалось, что после инъекции своего кода атакующий может «рулить» основным CPU в любой момент, даже только при наличии дежурного напряжения.
3. Никакой аппаратной модификации не требуется.

В принципе, аналогичного результата при таких условиях можно достичь, я думаю, на вообще любом компьютере.


Технология BootGuard как раз разрабатывалась, для защиты от такого вектора. Т.е. атакующий, который имеет физический доступ к машине не мог подменить прошивку.

Тут меня заинтересовало — предоставляет ли AMT возможность удалённой модификации ME региона, или требуется ручная перепрошивка (физический доступ)?

Такую возможность часто предоставляет BIOS, а имея AMT можно ей воспользоваться и перепрошить ME регион не имея физического доступа. Непросто — да, но возможность есть.

3. Никакой аппаратной модификации не требуется.

В случае
Для успешной эксплуатации данной уязвимости необходим доступ на запись в MFS или целиком в Intel ME регион. Производителям оборудования должны блокировать доступ к региону с ME

выполнения производителями указанной блокировки (а в принципе это могут сделать в обновлении БИОСа даже те кто не делал ранее), единственный путь — аппаратное вмешательство (гипотетические уязвимости БИОСа оставим в покое). Логично предположить, что чем дальше — тем меньше будет материнок с отсутствием блокировки.
Такую возможность часто предоставляет BIOS, а имея AMT можно ей воспользоваться

Это чисто теоретически или вы действительно знаете соответствующий механизм в AMT?
выполнения производителями указанной блокировки (а в принципе это могут сделать в обновлении БИОСа даже те кто не делал ранее), единственный путь — аппаратное вмешательство (гипотетические уязвимости БИОСа оставим в покое). Логично предположить, что чем дальше — тем меньше будет материнок с отсутствием блокировки.


К сожалению, как показывает практика найти материнки с просто разблокированными дескрипторами не составляет труда. К тому же, существует не один и даже не два способа как можно обойти это ограничение.

Это чисто теоретически или вы действительно знаете соответствующий механизм в AMT?

Это механизм не AMT, имея доступ к BIOS через AMT вы можете активировать указанную выше опцию (в BIOS), после чего сможете перезаписать все флеш, а не только МЕ.

Сетевой вектор в реальной жизни, как мне кажется, больше вероятен через цепочку уязвимостей, впрочем как любые другие атаки на прошивку.
Господа, просто ставьте пароль на BIOS:
BIOS не имеет пароля (или он известен злоумышленнику).
Статья в английской википедии об AMT говорит, что эта технология позволяет менять произвольные настройки БИОСа и даже весь БИОС целиком (удалённая перепрошивка). Возможно, пароль для входа в БИОС можно сбросить через AMT либо он не актуален при работе через AMT?
В общем, думаю, если злоумышленник знает пароль для AMT, пароль для БИОСа уже не страшен.
Актуален, можно ли сбросить? Такая возможность, насколько я знаю, нигде не заявлялась и не описывалась.
Когда-то была актуальна утилита KILLCMOS, как я понимаю затирающая все настройки вместе с паролем.
Верно — пароль хранится (нился еще 10 лет назад) в CMOS. И вполне успешно сбрасывался этой утилиткой из-под ХР.
Я правильно понимают на мифическую уязвимость в Кэше процессора
Интел заставил поставить фикс в течении пары месяцев,
А на МЕ к которому есть рабочие експлойты уже 3 года
(*Вход с пустым паролем + по-любому есть ещё куча не таких популярных експлойтов
и через который могут сломать через Ethernet вне ОС и процессора — им насрать?
Они регулярно высылают апдейты OEM'ам. Мне, на ThinkPad 430s от Lenovo, прилетали обновы после всех CVE. Если вам OEM «мышей не ловит» — претензии не к Intel'у.
Вот такие аппаратные фичи пугают гораздо больше чем недавние дыры в процессорах.
у некоторых серверов есть и покруче возможности(обновление биоса по команде извне и т.д.).

вот например у меня на одном ноуте эти навороты неотключаемы.
Ок, а что делать простому пользователю? Достаточно воспользоваться me_cleaner?
А как мне выразить свое несогласие с таким решением Intel? Не хотелось бы быть очередным паникером, расписывающим стены официальных сообществ. Какая-нить петиция, сайт?
А как мне выразить свое несогласие с таким решением Intel?

Очевидно, не брать его продукцию.
А чью брать? Поздняк метаться-то: AMD в Ryzen скопировала все «чудесатые» фичи ME.
Типичному простому пользователю достаточно не пускать потенциальных хакеров за свой компьютер.
me_cleaner или HAP не поможет, единственно что можно посоветовать: проверить систему CHIPSEC'ом и накатывать апдейты на БИОС.
Забавно, что та самая раздражающая родительская привычка после выключения техники выключать ещё и «пилот» с формулировкой «Ну мало ли, что с ним случится!» вполне защищает от такой атаки.

А по теме: очень крутое исследование. Вы не планируете выпустить если не книжку, то хотя бы сборник статей «Как разобрать ME на части, и что полезного можно из этого извлечь»?
По-моему должно быть интересно.
Прочитал название — сразу вспомнилось: «Тук тук, Нео...»
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.