Уязвимость в Intel ME сохраняется даже после обновления ПО и отключения этой подсистемы

В ходе мероприятия Black Hat Europe, посвященного вопросам компьютерной безопасности, работающие в этой области исследователи Positive Technologies продемонстрировали, что уязвимость в Intel Management Engine (ME) ^[1] сохраняется даже обновления ПО и отключения этой подсистемы.

Подсистема ME, позиционировавшаяся как средство, упрощающее работу системных администраторов, работает независимо от операционной системы. В результате действия злоумышленников совершенно незаметны для пользователя. Вместе с тем, она не просто обеспечивает доступ ко всем процессам и данным, но и сама доступна даже на неактивном компьютере.

После сообщения об уязвимости некоторые производители ПК начали отключать подсистему Intel ME ^[2] в своих изделиях. Согласно новым сведениям, это не позволяет полностью решить проблему. Злоумышленник все равно может получить контроль над ПК, воспользовавшись ошибкой в Intel ME 11, связанной с переполнением буфера. Эта ошибка позволяет исполнять неподписанный код на любой системе, вне зависимости от того, включена подсистема Intel ME или нет. В результате злоумышленник получает возможность вернуть систему к предыдущей, уязвимой версии ME. Правда, для этого ему придется перезаписать содержимое флэш-памяти, что может быть сделано напрямую или с помощью BIOS — в зависимости от конкретной конфигурации системы. Исследователи уточняют, что в этом случае необходим локальный доступ к системе, но широкая распространенность уязвимости делает потенциал для атаки очень большим.

Как утверждается, единственный выход на данный момент заключается в отключении OEM-производителями ПК «режима производителя», что сделает невозможной локальную атаку.

Источник ^[3]