Onderzoekers van het beveiligingsbedrijf Positive Technologies hebben een manier gevonden om de de Intel Management-functie uit te schakelen op cpu's van de chipmaker. Zij ontdekten een ongedocumenteerde functie die in het leven was geroepen in het kader van een NSA-programma.
Het onderzoek richt zich op de Intel Management Engine 11, die wordt toegepast op processors vanaf de Skylake-generatie. Deze aparte processor werkt los van de cpu zelf en is daarom toegankelijk als de cpu zelf is uitgeschakeld. Volgens Intel kan deze voor beheer op afstand worden gebruikt. De processor biedt functies als het opnieuw opstarten van een systeem en heeft volgens de onderzoekers toegang tot vrijwel alle gegevens op een systeem. Als een kwaadwillende toegang tot de engine krijgt, betekent dit dan ook een groot risico. Critici van de functie hebben deze doorgaans dan ook aangeduid als een backdoor.
Het uitschakelen van de functie is niet mogelijk, al hebben verschillende projecten geprobeerd dit voor elkaar te krijgen. De onderzoekers noemen onder meer het 'me_cleaner'-project, waarmee de functie grotendeels is uit te schakelen. Maar ook deze methode heeft tekortkomingen, zo is het mogelijk dat het systeem na 30 minuten opnieuw opstart. Dit jaar bleek bovendien dat er lange tijd een kwetsbaarheid in een onderdeel van de Management Engine, de Active Management Technology, aanwezig was. Dit liet aanvallers toegang krijgen tot systemen.
De onderzoekers schrijven dat analyse van de engine tot nu toe onmogelijk was, omdat de executable modules gecomprimeerd waren met Huffmancodering zonder dat de gebruikte tabellen bekend zijn. De onderzoekers zeggen niet hoe ze achter de nodige tabellen zijn gekomen, maar hebben een tool op GitHub gepubliceerd waarmee de images uitgepakt kunnen worden. Dit stelde hen in staat om verdere analyse uit te voeren.
Ze vervolgen dat ze in verschillende tools, die Intel normaal gesproken aan hardwaremakers ter beschikking stelt om enkele parameters van de engine in te stellen, een grote hoeveelheid xml-bestanden vonden. Deze bevatten een veld met de naam 'reserve_hap', waarin bovendien werd verwezen naar het zogenaamde High Assurance Platform. Dat is een aan de NSA verbonden platform dat zich richt op informatiebeveiliging. Door deze functie in te schakelen, lukte het uiteindelijk om de Management Engine vroeg in het bootproces uit te zetten. De onderzoekers vonden tot nu toe geen code waaruit blijkt dat de engine zelf uit deze modus kan 'ontsnappen'.
Intel reageerde op vragen van de onderzoekers: "Als reactie op verzoeken van klanten met speciale eisen onderzoeken we soms het aanpassen of het uitzetten van bepaalde functies. In dit geval zijn de aanpassingen doorgevoerd op verzoek van hardwaremakers om kun klanten te ondersteunen bij het High Assurance Platform. Deze aanpassingen hebben beperkte validatie ondergaan en het gaat niet om een officieel ondersteunde configuratie."
De onderzoekers schrijven dat ze ervan uitgaan dat dit een 'typische eis' is van overheden om side channel leaks te voorkomen.
Bron: Tweakers.net