در چند ماه گذشته، چندین گروه تحقیقاتی آسیبپذیریهایی را در ویژگی مدیریت از راه دورِ اینتل کشف کردند [۱] که بهعنوان موتور مدیریتی(۱) شناخته میشود. این آسیبپذیریها میتوانند به مهاجمان از راه دور اجازه دهند تا کنترل کامل کامپیوتر مورد هدف را در دست گیرند.
در حال حاضر، اینتل اعتراف کرده است که این آسیبپذیریهای امنیتی میتواند بهطور بالقوه پلتفرمها را در معرض خطر قرار دهد.
این شرکت سازنده تراشهی بسیار معروف، یک گزارش امنیتی در روز دوشنبه ۲۰ نوامبر ۲۰۱۷ منتشر کرده[۲] و در آن بیان کرده است که این موتور مدیریتی، ابزار مدیریت سرور از راه دور(۲) و ابزار تأیید هویت سختافزار(۳) که همگی متعلق به این شرکت هستند، به چندین مشکل امنیتی آسیبپذیرند که میلیونها دستگاه را در معرض خطر قرار داده است.
شدیدترین آسیبپذیری کشف شده که CVE-2017-5705 نامگذاری شده است شامل چندین مشکل سرریز بافر در هسته سیستمعاملِ موتور امنیتی اینتل است که میتواند به مهاجمان اجازه دهد تا به سیستم آسیبپذیر دسترسی محلی داشته باشند و کدها را بارگذاری و اجرا کرده بدون اینکه کاربر یا سیستمعامل متوجه شوند.
همچنین این شرکت سازنده تراشه در مورد یک مشکل امنیتی با شدت بالا به نام CVE-2017-5708 توضیح داده است که شامل چندین اشکال افزایش سطح دسترسی در هسته سیستمعامل در ویژگی موتر امنیتی گوگل است که میتواند به یک فرآیند غیرمجاز اجازه دهد که توسط یک شاخص نامعلوم به یک محتوای دارای سطح دسترسی بالا دسترسی داشته باشد.
سیستمهایی که از سیستمعامل موتور مدیریتی اینتل با نسخههای ۱۱، ۱۱٫۵، ۱۱٫۶، ۱۱٫۷، ۱۱٫۱۰ و ۱۱٫۲۰ استفاده میکنند، نسبت به این مشکل امنیتی آسیبپذیر هستند.
پردازندههای اینتل که دارای ویژگی موتور مدیریتی هستند برای مدیریت سیستمهای محلی و از راه دور، به مدیران فناوری اطلاعات اجازه میدهند تا کامپیوترهای شخصی، Workstationها و سرورهای سازمانِ خود را از راه دور مدیریت یا تعمیر کنند.
تا زمانی که یک سیستم به یک منبع برق و یک کابل شبکه متصل باشد، این توابعِ از راه دور میتوانند در خارج از محدوده خود و حتی هنگامیکه سیستم خاموش است، اجرا شوند چراکه این توابع بهطور مستقل از سیستمعامل کار میکنند.
ازآنجاکه ویژگی موتور امنیتی اینتل دارای دسترسی کامل به تقریباً تمام دادههای موجود بر روی یک رایانه است، ازجمله حافظه سیستم و آداپتورهای شبکه، بهرهبرداری از نقصهای این ویژگی[۳] برای اجرای یک کد مخرب بر روی آن میتواند یک پلتفرم را بهطور کامل در معرض خطر قرار دهد.
اینتل دراینباره میگوید: “بر اساس مواردی که از طریق بازبینی جامع امنیتی شناسایی شده است، یک مهاجم میتواند دسترسی غیرمجاز به پلتفرم، ویژگی موتور امنیتی، دادههای محافظتشدهی شخص ثالث توسط موتور مدیریتی و سرویس پیکربندی سرور یا TXE(4) داشته باشد.”
علاوه بر اجرای کد غیرمجاز در رایانهها، اینتل همچنین برخی از سناریوهای حمله را ذکر کرده است که یک مهاجم موفق میتواند توسط بهرهبرداری از آنها کاری کند که سیستم crash کرده و یا ناپایدار شود.
یکی دیگر از آسیبپذیریهای با شدت بالا که CVE-2017-5711 نامگذاری شده است شامل یک مسئله سرریز بافر در فناوری مدیریت فعال(۵) برای سیستمعاملِ موتور مدیریتی اینتل میشود که میتواند برای مهاجمان از راه دور سطح دسترسی مدیریتی به سیستم را فراهم کرده تا یک کد مخرب را اجرا کنند[۴].
فناوری مدیریت فعال دارای سیستمعاملهای موتور مدیریتی با نسخههای ۸، ۹، ۱۰، ۱۱، ۱۱٫۵، ۱۱٫۶، ۱۱٫۷، ۱۱٫۱۰ و ۱۱٫۲۰ نسبت به این اشکال امنیتی آسیبپذیر هستند.
بدترین قسمت این است که تقریباً غیرممکن است که ویژگی موتور مدیریتی را بهمنظور محافظت در برابر بهرهبرداریهای احتمالی از این آسیبپذیریها غیرفعال ساخت.
محققان شرکت Positive Technologies در یک گزارش که در اواخر ماه اوت ۲۰۱۷ منتشر شده است، اظهار داشتند[۵]: “واقعیت ناامیدکننده این است که در کامپیوترهای مدرن، غیرممکن است که ویژگی موتور مدیریتی بهطور کامل غیرفعال شود. این موضوع در درجه اول به دلیل این واقعیت است که این فناوری مسئول راهاندازی اولیه، مدیریت انرژی و راهاندازی پردازنده اصلی است.”
سایر آسیبپذیریهای شدید بر روی TXE نسخه ۳٫۰ و SPS نسخه ۴٫۰ تأثیرگذار هستند و میلیونها کامپیوترِ دارایِ این ویژگی را در معرض خطر قرار دادهاند. این آسیبپذیریها در اینجا آورده شدهاند:
نقصهای با شدت بالا در سرویس پلت فرم سرور یا SPS:
- CVE-2017-5706: این آسیبپذیری شامل مسائل مربوط به چندین سرریز بافر در هسته سیستمعامل برای سیستمعامل SPS اینتل است که میتواند به مهاجمان اجازه دهد تا دسترسی محلی به سیستم مربوطه داشته تا کد مخرب را بر روی آن اجرا کنند.
- CVE-2017-5709: این آسیبپذیری شامل چندین اشکال افزایش سطح دسترسی در هسته سیستمعامل در پروتکل SPS اینتل میشود که میتواند به یک فرآیند غیرمجاز اجازه دهد که توسط یک شاخص نامعلوم به یک محتوای دارای سطح دسترسی بالا دسترسی داشته باشد.
هردوی این آسیبپذیریها بر روی سیستمعامل SPS نسخه ۴٫۰ تأثیرگذار هستند.
نقصهای با شدت بالا در TXE:
- CVE-2017-5707: این آسیبپذیری شامل چندین نقص سرریز بافر در هسته سیستمعامل در پروتکل TXE است که به مهاجمان اجازه دسترسی محلی به سیستم را میدهد تا کد دلخواه خود را بر روی سیستم موردنظر اجرا کنند.
- CVE-2017-5710: این آسیبپذیری شامل چندین اشکال افزایش سطح دسترسی در هسته سیستمعامل در پروتکل TXE است که میتواند به یک فرآیند غیرمجاز اجازه دهد که توسط یک شاخص نامعلوم به یک محتوای دارای سطح دسترسی بالا دسترسی داشته باشد.
هردوی این آسیبپذیریها بر روی نسخه ۳٫۰ سیستمعامل TSE تأثیرگذار هستند.
محصولاتی از اینتل که تحت تأثیر این آسیبپذیریها قرار دارند:
در زیر لیست چیپستهای پردازندههایی که شامل سیستمعامل آسیبپذیر هستند آورده شده است:
- پردازندههای نسل ششم، هفتم و هشتم اینتل
- پردازندههای نسخه ۵ و ۶ زئون مدل E3-1200
- پردازندههای Xeon Scalable
- پردازندههای Xeon W
- پردازندههای Atom C3000
- پردازندههای سری Apollo Lake Atom E3900
- پردازندههای Apollo Lake Pentiums
- پردازندههای سری C و J مدل Celeron
اینتل وصلههای امنیتی مربوط به دوازده نسل از پردازندههای خود را بهمنظور برطرف کردن این آسیبپذیریها ارائه کرده است که در حقیقت بر روی میلیونها کامپیوتر شخصی، سرور و دستگاههای اینترنت اشیا تأثیرگذار هستند و به کاربران خود اکیداً توصیه کرده است که هر چه سریعتر سیستمعاملهای خود را بهروزرسانی کنند.
شرکت اینتل همچنین یک ابزار تشخیصی[۶] برای کمک به مدیران ویندوز و لینوکس ارائه کرده است که بررسی میکند که آیا سیستمهای آنها در معرض تهدید قرار دارند یا خیر.
این شرکت همچنین از Mark Ermolov و Maxim Goryachy از شرکت Positive Technologies Research برای کشف آسیبپذیری CVE-2017-5705 تشکر کرده است، که در حقیقت باعث شدند این شرکت منبع کد خود را بهمنظور برطرف کردن این آسیبپذیریها بازبینی کند.
منابع
[۱] https://apa.aut.ac.ir/?p=2489
[۲] https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
[۳] https://thehackernews.com/2017/05/intel-amt-vulnerability.html
[۴] https://apa.aut.ac.ir/?p=2664
[۵] http://blog.ptsecurity.com/2017/08/disabling-intel-me.html
[۶] https://downloadcenter.intel.com/download/27150
[۷] https://thehackernews.com/2017/11/intel-chipset-flaws.html
(۱) Management Engine (ME)
(۲) remote server management tool Server Platform Services (SPS)
(۳) hardware authentication tool Trusted Execution Engine (TXE)
(۴) Trusted Execution Engine
(۵) Active Management Technology (AMT)
ثبت ديدگاه