近日,俄罗斯安全公司Positive Technologies的专家们发现了彻底禁用英特尔管理引擎(Intel ME)的方法。
何为Intel ME?
Intel ME是一个独立于x86 CPU、BIOS/UEFI固件的一个框架。这个框架分为硬件和软件两个部分,硬件部分根据ME版本不同分别对应ARC4/5、SPARC和x86(=>MEv11)的处理器,而软件的部分则是在flash中和BIOS、GBE以及其他固件模块打包在一起。
在ME这个框架以及独立的小型计算机下可以运行很多底层的应用,包括永远处于运行状态的远程管理工具包AMT是ME第一个的基于ME架构的应用,现在也有作为ME实现的TPM: PTT,用于remote attestion的信任链条的EPIDhe Boot Guard、PAVP( Protected Audio and Video Path)和SGX。
ME也被称为Ring -3,和BIOS/EFI的启动是并行的,Bootguard的验签OK的话SEC/PEI会有序进行,但问题是在于ME几乎无法被关掉,为什么是几乎呢,因为一旦启动(甚至关机状态)ME就会一直运行着,没有办法可以关掉,所以长期以来,很多人都怀疑Intel ME有后门嫌疑。
被认为有后门嫌疑的Intel ME
在很长一段时间里,黑客和专家们找了各种办法关掉ME,但都没有成功,这是为什么呢?
从硬件角度来看,ME就是平台控制单元(PCH)芯片上的微控制器,负责处理处理器和外部设备之间的通信,由于所有这些数据流都要经过ME进行处理,因此系统管理员可以远程操控电脑。
之所以被称为后门,是因为这些远程处理信息并未被PCH芯片记录,而且有些信息还会被可以隐藏,有人怀疑这是英特尔官方有意留的后门,不过英特尔拒绝承认此事。
彻底禁用Intel ME有多难?
许多人(包括安全专家和黑客)试图禁用Intel ME却以失败告终
因为这个ME是嵌入在启动进程中的,如果直接禁用ME访问统一内存架构(Unified Memory Architeture,UMA)的路径会导致计算机在1分钟内关机,而如果禁用镜像里的所有section会导致计算机在30分钟左右重启。
所以,美国国家标准与技术委员会(NIST)的国家漏洞数据库(NVD)曾在今年五月披露过AMT技术中存在漏洞。同时,电子前沿基金会将这个漏洞评为安全隐患,基金会还要求用户禁用PCH芯片中的主控制器,并详细介绍了该技术的运行方式。
虽然,非官方工具ME Cleaner可在一定程度上禁用,但也仅限特定范围。
如何彻底禁用英特尔管理引擎?
Positive Technologies研究人员在固件代码中发现了隐藏的字节,当将该字节设置为“1”时,即可禁用ME,而且是彻底的禁用。
这个字节被标记为“reserve_hap”,旁边标注“High Assurance Platform,HAP”,HAP是美国NSA制定的IT安全框架。
研究人员认为英特尔是在NSA的这个规则下添加了这个ME禁用字节。至于原因吗?我想,可能是NSA也需要彻底禁用ME的方法,从而在极度安全的环境中运行他们的业务。不难排除,ME或其中存在的任何固件漏洞可能会泄露高度敏感的信息。
英特尔发言人近日也表示,为了特定客户的需求,可以让他们修改或禁用ME。这样,英特尔应设备制造商的请求进行了配置修改,以支持HAP计划。不过这些修改只是个暂时的计划,还并被英特尔正式的大规模放置到配置中。
Positive Technologies指出,目前尚不清楚HAP是否会对Boot Guard构成影响。
关于详细的禁用方法,请点击此处。
不过为了保险起见,我建议以下4类用户要特别注意ME的潜在威胁:
1.注重软件*和隐私的用户。
2.非美国以及“五只眼”情报联盟成员国以外的组织。
3.放置企业核心业务以及重要数据资产的设备。
4.管理关键性基础公共设施的机构。
译者注:“五只眼”情报联盟是在英美情报共享的基础上发展起来的。在二战结束后的1946年,英美签署了英美通信协定,将情报共享机制化。1948年,加拿大加入该协定。1956年,澳大利亚和新西兰加入。