2023/11/23 15:16:04

Ошибки и уязвимости в процессорах Intel

.

Содержание

2023: Российский центр отслеживания компьютерных инцидентов предупредил об опасной уязвимости для ЦОДов на процессорах Intel

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) разослал предупреждения о появлении опасной уязвимости (CVE-2023-31273) в технологии Intel Data Center Manager (DCM) вплоть до версии 5.2, которая позволяет выполнить произвольный код на удаленной системе. Оценка опасности по классификации CVSS 10 из 10, что говорит о легкости эксплуатации и возможности удаленного исполнения кода. В описании уязвимости написано: «Некорректное использование защитных механизмов» без раскрытия подробностей, а в базе NIST указано следующее:

«
Эта уязвимость в настоящее время проходит анализ, и не вся информация доступна. Пожалуйста, загляните в ближайшее время, чтобы просмотреть полную сводку уязвимостей.
»

Intel DCM – это инструмент для сбора данных с температурных датчиков, установленных на системных платах, в реальном времени без развертывания дорогостоящей резервной инфраструктуры, используя интеллектуальные блоки распределения питания. В частности, технология используется в StruxureWare for Data Centers 2.0 компании Schneider Electric – достаточно популярном в России производителе оборудования для ЦОДов. Мониторинг и управление оборудованием с помощью Intel DCM позволяют сократить количество случаев аварийного отключения питания, однако допускает удаленное исполнение кода.

Intel выпустила обновление, которое устраняет уязвимость, но для российских пользователей оно недоступно – компания отказывается работать с российскими заказчиками. Рекомендации НКЦКИ следующие:

«
Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
»

Пока сведений о эксплуатации данной уязвимости не поступало. Также нет информации и о наличии эксплойтов для нее, тем не менее стоит предусмотреть план действий в случае попыток эксплуатации этой уязвимости. Если в компании используется Intel DCM, то рекомендуется усилить контроль за его поведением и по возможности обновить до безопасных версий.

2021: Дыры в процессорах Intel позволяют перехватывать контроль над устройством

В конце марта 2021 года стало известно о новых уязвимостях в процессорах Intel, которые позволяют перехватывать контроль над устройством. О своей находке рассказали специалисты компании Positive Technologies Марк Ермолов и Дмитрий Скляров и независимый исследователь информационной безопасности Максим Горячий.

По словам экспертов, недокументированные возможности позволяют модифицировать микрокод и получить контроль над процессором и всей системой. Инструкции могут быть активированы удаленно. Но это возможно только в специальном режиме работы процессоров Red Unlock. Доступ к нему должен быть только у инженеров Intel, сказал Ермолов.

В процессорах Intel нашли критические уязвимости

В теории найденные уязвимости может использовать любой злоумышленник, обладающий необходимой информацией, сказал изданию коммерческий директор компании RuSIEM Александр Булатов. В этом случае хакер получит целый набор возможностей по управлению скомпрометированной системой.

«
Это может быть как самое простое принудительное выключение устройства, так и перепрошивка процессора микрокодом, скрытно выполняющим определенные задачи злоумышленника, — пояснил Булатов.
»

Под угрозой оказались устройства на платформе Intel, которая устанавливается в нетбуках, планшетах, POS-терминалах и кассовых аппаратах. Однако, специалисты считают, что аналогичные недокументированные возможности могут присутствовать во всех актуальных процессорах Intel, что представляет собой серьёзную потенциальную угрозу.

Решения Intel, из-за которых появились обнаруженные инструкции, не были описаны в какой-либо документации, сказали в Positive Technologies. Некоторые специалисты предполагают, что компания могла создать бэкдор, то есть предусмотреть возможность производителя процессоров получать скрытый доступ к системе пользователя в обход настроек безопасности.[1]

2018

Intel предлагает до $250 тыс. за найденные уязвимости в своих продуктах

Компания Intel запустила публичную программу вознаграждения за найденные уязвимости в своих программных и аппаратных продуктах, позволяющую получить до $250 тыс. за найденную проблему. Об этом компания сообщила в пресс-релизе[2][3].

Ранее Intel уже запускала подобные программы, однако участие в них было строго ограничено. Новая программа, которая будет проводиться на платформе HackerOne, доступна для всех желающих. Любой исследователь безопасности с учетной записью на HackerOne теперь сможет искать уязвимости в ряде продуктов Intel, таких как процессоры, коды чипсетов, SSD, материнские платы, сетевые карты и их соответствующие прошивки, а также в драйверах и приложениях уровня ОС. В зависимости от опасности обнаруженной проблемы исследователи могут получить от $500 до $250 тыс.

Фактически, Intel запустила сразу две программы по поиску уязвимостей. Одна из них ориентирована на поиск обычных проблем безопасности и предусматривает вознаграждение в размере от $500 до $100 тыс. Вторая представляет собой программу вознаграждения за поиск уязвимостей, позволяющих провести атаку по сторонним каналам. Исследователи смогут заработать от $5 тыс. до $250 тыс. Данная программа действует до 31 декабря 2018 года.

Раскрытие данных об уязвимостях в процессорах китайцам раньше, чем властям США

В конце января 2018 года стало известно о том, что Intel уведомила некоторых своих клиентов об уязвимостях в процессорах раньше, чем американское правительство.

Как сообщает газета The Wall Street Journal (WSJ) со ссылкой на знакомых с ситуацией людей, среди тех, кто получил от Intel информацию раньше других, были китайские технологические компании, включая Lenovo и Alibaba Group.

Опрошенные изданием эксперты в области кибербезопасности опасаются, что секретные данные могли попасть китайскому правительству перед публичной оглаской. Однако нет никаких доказательств, что кто-то злоупотребил информацией, связанной с продукцией Intel, отмечают исследователи.

Американские власти не были в числе первых, кому Intel рассказала об уязвимостях

Поскольку найденные уязвимости можно использовать для сбора конфиденциальных данных из облака, информация о них может представлять большой интерес для любых разведывательных служб, говорит бывший сотрудник Агентства национальной безопасности Джейк Уильямс (Jake Williams), возглавляющий ИБ-компанию Rendition Infosec.

По его словам, «почта наверняка» Пекин знал о разговорах Intel и китайских технологических партнеров, потому что власти постоянно следят за такого рода взаимодействием.

Помимо китайских клиентов, в группу компаний, которых Intel предупредила об уязвимостях в первую очередь, вошли американские Amazon, Microsoft и британская ARM Holdings.

Intel должна была сделать публичное заявление об уязвимостях 9 января 2018 года, однако информация попала в СМИ на неделю раньше. Из-за этого компания не смогла вовремя проинформировать всех, кого хотела, в том числе власти США, пояснил WSJ представитель Intel.

В компании также рассказали, что за несколько месяцев до обнародования данных Intel работала с Google, а также с «ключевыми» производителями компьютеров и поставщиками облачных услуг над устранением уязвимостей.[4]

2017: Ошибки в процессорах

В нескольких сериях процессоров Intel выявлена ошибка, приводящая к "падению" систем под управлением Windows и Linux. [5] Проблема затрагивает процессоры серии Kaby Lake, Skylake, Xeon v5, Xeon v6 и некоторые модели процессоров Pentium и Core X v6.

Исследователи фирмы F-Secure выявили серьезную проблему с технологией Intel Active Management Technology, благодаря которой злоумышленники могут обходить локальные средства авторизации на ноутбуках на базе процессоров Intel. Эксперты отмечают, что для эксплуатации этой уязвимости достаточно полминуты и никаких специализированных знаний не потребуется. Подробнее об инциденте здесь

2016: "Дыра" в чипсетах х86, дающая доступ к ОЗУ и отправке данных через Интернет

17 июня 2016 года стало известно о наличии скрытой уязвимости в компьютерах с процессорами Intel x86. Тысячи ПК с процессорами Intel содержат скрытый механизм, деятельность которого нельзя проверить [6].

Эта уязвимость способна обеспечить доступ к ОЗУ и отправку данных через интернет, минуя любые файрволы. Пользователям осталось только надеяться на порядочность Intel, которая реализовала эту функцию, и верить в неведение злоумышленников.

Дэмиен Заммит (Damien Zammit), независимый исследователь и разработчик поведал сообществу о содержащейся в большом количестве персональных компьютеров с процессорами Intel x86 уязвимости, эксплуатировать которую хакеры могут начать в любой момент.

Проблема в чипсетах Intel нескольких последних поколений. Она - микроконтроллер, действующий отдельно от центрального процессора, называется Intel Management Engine (Intel ME). Некоторые зарубежные издания охарактеризовали этот компонент «огромной дырой» (enormous flaw), учитывая возможности, которые он способен предложить злоумышленникам.

Intel ME — отдельный микрокомпьютер, управляющий центральным процессором (ЦП). Он работает под управлением собственной микропрограммы независимо от ЦП и способен продолжать функционировать даже если система находится в «ждущем режиме» — когда электропитание подается только на ОЗУ.

Контроллер Intel Management Engine, (2016)

В некоторых чипсетах Intel ME служит для реализации технологии Intel Active Management Technology (AMT), позволяющей системным администраторам дистанционно управлять персональными компьютерами. Для этой цели микроконтроллер напрямую подключен к оперативной памяти и может получать доступ к любой ее области без ведома операционной системы. Микроконтроллер обладает собственным сервером TCP/IP и может обмениваться сетевыми пакетами через сетевой адаптер компьютера с удаленным сервером, минуя любые установленные на компьютере брандмауэры.

В микроконтроллер Intel ME нельзя попасть и не существует способа его отключить. Нет возможности проверить его микропрограмму и что она делает. И если в ней есть уязвимость, её нельзя устранить.

При использовании этого компонента злоумышленниками, их действия будут незаметны, поскольку ни одно программное средство не может обнаружить вредоносную активность вследствие недоступности микроконтроллера для операционной системы.

Безопасность микроконтроллера основана на принципе «безопасность через неясность». То есть, его нельзя скомпрометировать, потому что никто (кроме Intel) не знает, как он устроен. При этом устройство обладает практически безграничными неконтролируемыми правами.

«
Несмотря на то, что микропрограмма защищена 2048-битным ключом шифрования RSA, исследователи смогли взломать ранние версии чипсетов с микроконтроллером Intel ME и получить частичный контроль над встроенным программным обеспечением.

Дэмиен Заммит (Damien Zammit), независимый исследователь и разработчик
»

2015: В процессорах Intel x86 есть уязвимость

10 августа 2015 года стало известно о наличии в процессорах Intel на архитектуре x86 уязвимости, позволяющей хакерам устанавливать на компьютеры «вечные» вирусы[7].

Уязвимость существует 18 лет.

Дефект в архитектуре Intel x86 позволяет злоумышленникам поместить руткит в прошивку персональных компьютеров и получить к системе неограниченный доступ, сообщил на конференции Black Hat Кристофер Домас(Christopher Domas), аналитик компании Battelle Memorial Institute.

Уязвимость в архитектуре x86 появилась еще в 1997 году, но обнаружили ее спустя 18 лет.

Обновление BIOS

Она позволяет злоумышленнику получить доступ к режиму работы процессора System Management Mode (SMM), реализованному в чипах Intel. Режим SMM предоставляет программе наивысший из возможных доступов в системе (выше любого уровня доступа в ОС, так как режим SMM находится на более низком системном уровне). В режиме SMM хакер может обнулить BIOS, нарушив работу ПК, или внедрить в прошивку персонального компьютера вредоносный код.


Внедрение «вечных» вирусов

Этот код затем может быть использован, например, для восстановления удаленного вируса. Вредоносная программа может поселиться на компьютере навечно, и пользователь не сможет понять - откуда «зараза» берется.

Домас тестировал на наличие уязвимости только чипы Intel, но отметил, что в процессорах AMD также возможно ее присутствие, поскольку архитектура у них одна.


Патч от Intel

По словам исследователя, он уведомил о проблеме корпорацию Intel и она исправила ошибку в процессорах последнего поколения. Компания выпустила патч для чипов предыдущих поколений. Однако он способен «вылечить» не все процессоры.

Но, чтобы провести атаку, хакер сначала должен получить в системе права администратора. То есть сама по себе уязвимость не позволяет получить доступ к компьютеру изначально, но помогает замаскировать уже помещенный в нее вирус.


Работы других исследователей

Ранее безопасность базовых компонентов вычислительных систем неоднократно оказывалась под вопросом. Так, в марте 2015 г. исследователи Ксено Кова(Xeno Kovah) и Кори Каленберг(Corey Kallenberg) на конференции CanSecWest в Ванкувере, Канада, продемонстрировали способность дистанционно перепрошить BIOS персональных компьютеров, помещая в его программное обеспечение вредоносный код.

Примечания