Исследователи по информационной безопасности московской компании Positive Technologies обнаружили недокументированный параметр конфигурации, который отключает Intel Management Engine 11. Согласно заявлению Positive Technologies, данный механизм управления центральным процессором (ЦП) компьютера может повлечь за собой риск для безопасности системы и даже повреждение вычислительной техники.
По информации исследователей Positive Technologies Дмитрия Склярова, Марка Ермолова и Максима Горячего, опубликованной в блоге компании на «Хабрахабре», в одном из файлов конфигурации Intel ME ими был найден недокументированный бит HAP с именем «reserve_hap». HAP — это High Assurance Platform или программа по созданию доверительных платформ, связанная с Агентством национальной безопасности (АНБ) США. Этот бит позволяет перевести Intel ME в режим отключения основного функционала на ранней стадии. Самая главная проблема при этом — выйти из этого режима нельзя. Предполагается, что механизм служит для уменьшения вероятности утечки по побочным каналам. Однако, HAP также влияет и на те функции прошивки компьютерной платформы, которые ему не следует трогать (например, Boot Guard).
Статус ME после активации HAP-бита
Intel ME состоит из микросхемы Platform Controller Hub (PCH) с интегрированным микроконтроллером, включающим набор встроенных периферийных устройств. Он обрабатывает большую часть данных, перемещаемых между процессором и внешними устройствами, и поэтому имеет доступ к большинству из них на главном компьютере. Если Intel Management Engine скомпрометирована, то платформа становится бэкдором, предоставляя атакующему пользователю полный контроль над поврежденным компьютером.
В настоящее время компания Intel уже ознакомлена с деталями вопроса. Американский производитель процессоров подтвердил, что обнаруженный московскими исследователями недокументированный режим связан с программой High Assurance Platform. Способ выключения Intel ME описан в исследовании Positive Technologies.
