اینتل

در چند ماه گذشته، چندین گروه تحقیقاتی آسیب‌پذیری‌هایی را در ویژگی مدیریت از راه دورِ اینتل کشف کردند [۱] که به‌عنوان موتور مدیریتی(۱) شناخته می‌شود. این آسیب‌پذیری‌ها می‌توانند به مهاجمان از راه دور اجازه دهند تا کنترل کامل کامپیوتر مورد هدف را در دست گیرند.

در حال حاضر، اینتل اعتراف کرده است که این آسیب‌پذیری‌های امنیتی می‌تواند به‌طور بالقوه پلتفرم‌ها را در معرض خطر قرار دهد.

این شرکت سازنده تراشه‌ی بسیار معروف، یک گزارش امنیتی در روز دوشنبه ۲۰ نوامبر ۲۰۱۷ منتشر کرده[۲] و در آن بیان کرده است که این موتور مدیریتی، ابزار مدیریت سرور از راه دور(۲) و ابزار تأیید هویت سخت‌افزار(۳) که همگی متعلق به این شرکت هستند، به چندین مشکل امنیتی آسیب‌پذیرند که میلیون‌ها دستگاه را در معرض خطر قرار داده است.

شدیدترین آسیب‌پذیری کشف شده که CVE-2017-5705 نام‌گذاری شده است شامل چندین مشکل سرریز بافر در هسته سیستم‌عاملِ موتور امنیتی اینتل است که می‌تواند به مهاجمان اجازه دهد تا به سیستم آسیب‌پذیر دسترسی محلی داشته باشند و کدها را بارگذاری و اجرا کرده بدون اینکه کاربر یا سیستم‌عامل متوجه شوند.

همچنین این شرکت سازنده تراشه در مورد یک مشکل امنیتی با شدت بالا به نام CVE-2017-5708 توضیح داده است که شامل چندین اشکال افزایش سطح دسترسی در هسته سیستم‌عامل در ویژگی موتر امنیتی گوگل است که می‌تواند به یک فرآیند غیرمجاز اجازه دهد که توسط یک شاخص نامعلوم به یک محتوای دارای سطح دسترسی بالا دسترسی داشته باشد.

سیستم‌هایی که از سیستم‌عامل موتور مدیریتی اینتل با نسخه‌های ۱۱، ۱۱٫۵، ۱۱٫۶، ۱۱٫۷، ۱۱٫۱۰ و ۱۱٫۲۰ استفاده می‌کنند، نسبت به این مشکل امنیتی آسیب‌پذیر هستند.

پردازنده‌های اینتل که دارای ویژگی موتور مدیریتی هستند برای مدیریت سیستم‌های محلی و از راه دور، به مدیران فناوری اطلاعات اجازه می‌دهند تا کامپیوترهای شخصی، Workstationها و سرورهای سازمانِ خود را از راه دور مدیریت یا تعمیر کنند.

تا زمانی که یک سیستم به یک منبع برق و یک کابل شبکه متصل باشد، این توابعِ از راه دور می‌توانند در خارج از محدوده خود و حتی هنگامی‌که سیستم خاموش است، اجرا شوند چراکه این توابع به‌طور مستقل از سیستم‌عامل کار می‌کنند.

ازآنجاکه ویژگی موتور امنیتی اینتل دارای دسترسی کامل به تقریباً تمام داده‌های موجود بر روی یک رایانه است، ازجمله حافظه سیستم و آداپتورهای شبکه، بهره‌برداری از نقص‌های این ویژگی[۳] برای اجرای یک کد مخرب بر روی آن می‌تواند یک پلتفرم را به‌طور کامل در معرض خطر قرار دهد.

اینتل دراین‌باره می‌گوید: “بر اساس مواردی که از طریق بازبینی جامع امنیتی شناسایی شده است، یک مهاجم می‌تواند دسترسی غیرمجاز به پلتفرم، ویژگی موتور امنیتی، داده‌‌های محافظت‌شده‌ی شخص ثالث توسط موتور مدیریتی و سرویس پیکربندی سرور یا TXE(4) داشته باشد.”

علاوه بر اجرای کد غیرمجاز در رایانه‌ها، اینتل همچنین برخی از سناریوهای حمله را ذکر کرده است که یک مهاجم موفق می‌تواند توسط بهره‌برداری از آن‌ها کاری کند که سیستم crash کرده و یا ناپایدار شود.

یکی دیگر از آسیب‌پذیری‌های با شدت بالا که CVE-2017-5711 نام‌گذاری شده است شامل یک مسئله سرریز بافر در فناوری مدیریت فعال(۵) برای سیستم‌عاملِ موتور مدیریتی اینتل می‌شود که می‌تواند برای مهاجمان از راه دور سطح دسترسی مدیریتی به سیستم را فراهم کرده تا یک کد مخرب را اجرا کنند[۴].

فناوری مدیریت فعال دارای سیستم‌عامل‌های موتور مدیریتی با نسخه‌های ۸، ۹، ۱۰، ۱۱، ۱۱٫۵، ۱۱٫۶، ۱۱٫۷، ۱۱٫۱۰ و ۱۱٫۲۰ نسبت به این اشکال امنیتی آسیب‌پذیر هستند.

بدترین قسمت این است که تقریباً غیرممکن است که ویژگی موتور مدیریتی را به‌منظور محافظت در برابر بهره‌برداری‌های احتمالی از این آسیب‌پذیری‌ها غیرفعال ساخت.

محققان شرکت Positive Technologies در یک گزارش که در اواخر ماه اوت ۲۰۱۷ منتشر شده است، اظهار داشتند[۵]: “واقعیت ناامیدکننده این است که در کامپیوترهای مدرن، غیرممکن است که ویژگی موتور مدیریتی به‌طور کامل غیرفعال شود. این موضوع در درجه اول به دلیل این واقعیت است که این فناوری مسئول راه‌اندازی اولیه، مدیریت انرژی و راه‌اندازی پردازنده اصلی است.”

سایر آسیب‌پذیری‌های شدید بر روی TXE نسخه ۳٫۰ و SPS نسخه ۴٫۰ تأثیرگذار هستند و میلیون‌ها کامپیوترِ دارایِ این ویژگی را در معرض خطر قرار داده‌اند. این آسیب‌پذیری‌ها در اینجا آورده شده‌اند:

نقص‌های با شدت بالا در سرویس پلت فرم سرور یا SPS:

  • CVE-2017-5706: این آسیب‌پذیری شامل مسائل مربوط به چندین سرریز بافر در هسته سیستم‌عامل برای سیستم‌عامل SPS اینتل است که می‌تواند به مهاجمان اجازه دهد تا دسترسی محلی به سیستم مربوطه داشته تا کد مخرب را بر روی آن اجرا کنند.
  • CVE-2017-5709: این آسیب‌پذیری شامل چندین اشکال افزایش سطح دسترسی در هسته سیستم‌عامل در پروتکل SPS اینتل می‌شود که می‌تواند به یک فرآیند غیرمجاز اجازه دهد که توسط یک شاخص نامعلوم به یک محتوای دارای سطح دسترسی بالا دسترسی داشته باشد.

هردوی این آسیب‌پذیری‌ها بر روی سیستم‌عامل SPS نسخه ۴٫۰ تأثیرگذار هستند.

نقص‌های با شدت بالا در TXE:

  • CVE-2017-5707: این آسیب‌پذیری شامل چندین نقص سرریز بافر در هسته سیستم‌عامل در پروتکل TXE است که به مهاجمان اجازه دسترسی محلی به سیستم را می‌دهد تا کد دلخواه خود را بر روی سیستم موردنظر اجرا کنند.
  • CVE-2017-5710: این آسیب‌پذیری شامل چندین اشکال افزایش سطح دسترسی در هسته سیستم‌عامل در پروتکل TXE است که می‌تواند به یک فرآیند غیرمجاز اجازه دهد که توسط یک شاخص نامعلوم به یک محتوای دارای سطح دسترسی بالا دسترسی داشته باشد.

هردوی این آسیب‌پذیری‌ها بر روی نسخه ۳٫۰ سیستم‌عامل TSE تأثیرگذار هستند.

محصولاتی از اینتل که تحت تأثیر این آسیب‌پذیری‌ها قرار دارند:

در زیر لیست چیپست‌های پردازنده‌هایی که شامل سیستم‌عامل آسیب‌پذیر هستند آورده شده است:

  • پردازنده‌های نسل ششم، هفتم و هشتم اینتل
  • پردازنده‌های نسخه ۵ و ۶ زئون مدل E3-1200
  • پردازنده‌های Xeon Scalable
  • پردازنده‌های Xeon W
  • پردازنده‌های Atom C3000
  • پردازنده‌های سری Apollo Lake Atom E3900
  • پردازنده‌های Apollo Lake Pentiums
  • پردازنده‌های سری C و J مدل Celeron

اینتل وصله‌های امنیتی مربوط به دوازده نسل از پردازنده‌های خود را به‌منظور برطرف کردن این آسیب‌پذیری‌ها ارائه کرده است که در حقیقت بر روی میلیون‌ها کامپیوتر شخصی، سرور و دستگاه‌های اینترنت اشیا تأثیرگذار هستند و به کاربران خود اکیداً توصیه کرده است که هر چه سریع‌تر سیستم‌عامل‌های خود را به‌روزرسانی کنند.

شرکت اینتل همچنین یک ابزار تشخیصی[۶] برای کمک به مدیران ویندوز و لینوکس ارائه کرده است که بررسی می‌کند که آیا سیستم‌های آن‌ها در معرض تهدید قرار دارند یا خیر.

این شرکت همچنین از Mark Ermolov و Maxim Goryachy از شرکت Positive Technologies Research برای کشف آسیب‌پذیری CVE-2017-5705 تشکر کرده است، که در حقیقت باعث شدند این شرکت منبع کد خود را به‌منظور برطرف کردن این آسیب‌پذیری‌ها بازبینی کند.

منابع

[۱] https://apa.aut.ac.ir/?p=2489

[۲] https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

[۳] https://thehackernews.com/2017/05/intel-amt-vulnerability.html

[۴] https://apa.aut.ac.ir/?p=2664

[۵] http://blog.ptsecurity.com/2017/08/disabling-intel-me.html

[۶] https://downloadcenter.intel.com/download/27150

[۷] https://thehackernews.com/2017/11/intel-chipset-flaws.html


(۱) Management Engine (ME)
(۲) remote server management tool Server Platform Services (SPS)
(۳) hardware authentication tool Trusted Execution Engine (TXE)
(۴) Trusted Execution Engine
(۵) Active Management Technology (AMT)