Az Intel fejlesztőcsapatának elég sok munkája akad mostanában, hiszen egyfelől küzdeniük kell a Spectre különböző variánsaival, másfelől a híres-hírhedt Management Engine esetében is találtak két új bugot a korábbi néhány mellé, így ezekkel is le kellett számolniuk a fejlesztőknek.

Ismért érdemes lesz figyelni a firmware frissítéseket...

Az orosz biztonságtechnikai vállalat, a Positive Technologies munkatársai nemrégiben számoltak be két újabb biztonsági résről az Intel Management Engine-ben, amit egy, a lapkakészleten futó Minix3 operációs rendszer szolgál ki, méghozzá egy külön processzorra, egy 32-bites Quark megoldásra támaszkodva, speciális jogkörökkel. A Management Engine ellen egyébként több cég is harcol, mivel nem teljesen világos, hogy az Intel zárt rendszere pontosan hogyan működik és mi mindent végez el a háttérben – az egyik nagy ellenzője a Google.

Az viszont biztos, hogy a Management Engine már az elmúlt időszakban is több sebből vérzett, hiszen számos biztonsági rést találtak rajta, amelyeket már sikerült javítani – súlyosságuk változó volt. Most újabb két biztonsági résre készített foltot a vállalat. Az egyik, amely a CVE-2018-3627-es besorolás alatt fut, egy logikai hiba következménye, nem buffer túlcsordulásból ered. Az alá tartozó SA-00118-as bug veszélyesebb, mint a korábban felfedezett SA-00086-os, hiszen utóbbi csak akkor jelentett veszélyt, ha az OEM-ek konfigurációs hibákat követtek el az adott firmware esetében. Az új bug ezzel szemben minden esetben könnyedén kihasználható, mindenféle konfigurációs beállítástól függetlenül, de ehhez a támadónak helyi hozzáférésre van szüksége, ami azért egy picit behatárolja a lehetőségeket.

A második biztonsági rés, azaz a CVE-2018-3638-as – ami SA-00112-es jelöl alatt is fut –, egy fokkal veszélyesebb, hiszen a Management Engine fedélzetén futó AMT (Active Management Technology) folyamatát érinti, rajta keresztül pedig kártékony kódok futtatására nyílik lehetőség. További probléma, hogy a fentebb említett SA-00086-os buggal ellentétben itt még AMT adminisztrátori hozzáférésre sincs szükség, nélküle is támadható a rendszer. Az Intel szerint a hibát a HTTP kezelőben létrejövő buffer-túlcsordulás okozza, ami lehetővé teszi, hogy jogosultság-ellenőrzés nélkül fussanak le a távolról indított kártékony kódok. Az Intel szerint a veszély mértékét csökkenti, hogy sikeres támadást csak az azonos alhálózatban lévő rendszerekről lehet indítani, ám ez sajnos nem egy leküzdhetetlen kihívás a modern kor hackereinek.

Hogy melyik bug milyen processzorokat és platformokat érint?

A CVE-2018-3627-es bug (SA-00118) esetében az Intel hatodik generációs Core, illetve ennél újabb processzorai érintettek, de nem csak a konzumer, hanem a szerver, az üzleti és az IoT vonalon is.

Egy fokkal szélesebb kört érint a második, CVE-2018-3628-as bug (SA-00112), ami az alábbi processzorokat és platformokat veszélyezteti.

Az Intel ajánlása szerint az érintett platformok esetében érdemes figyelni az adott OEM partnernél megjelenő firmware frissítéseket, majd ezeket haladéktalanul telepíteni kell. A hivatalos dokumentum szerint a Core 2 Duo vPro és a Centrino 2 vPro modellekhez nem készül javítás, vagyis firmware frissítés, de az első, második és harmadik generációs Intel Core processzorok is ugyanígy járnak, tehát ezeknél sajnos nyitva maradnak a biztonsági rések. A szóban forgó rendszerek persze elég régiek, így jelentősebb piaci részesedéssel amúgy sem rendelkeznek.