莫斯科企業(yè)安全提供商Positive Technologies的安全專家發(fā)現(xiàn)禁用英特爾管理引擎(Intel ME)的方法。Intel ME是英特爾CPU的一個組件,是嵌入英特爾CPU的一個獨立處理器,運行自己的操作系統(tǒng),包含進程、線程、內(nèi)存管理器、硬件總線驅動、文件系統(tǒng)等組件。系統(tǒng)管理員可借助Intel ME的工具遠程監(jiān)控、升級、更新并修復計算機。
許多人認為Intel ME是后門一樣的存在從硬件層面來看,Intel ME無非是PCH(平臺控制單元)芯片上的微控制器。Intel ME負責處理英特爾處理器和外部設備之間的通信,所有這些數(shù)據(jù)流都會經(jīng)過Intel ME,因此系統(tǒng)管理員可管理遠程電腦。
然而許多人將Intel ME稱之為后門,這是因為Intel ME的固件未正式記錄,并經(jīng)過壓縮隱藏內(nèi)容,英特爾方面對此予以否認。
許多人試圖禁用Intel ME卻以失敗告終許多安全專家不斷探索,希望找到禁用Intel ME的方法,但卻以失敗告終,因為這個組件交織在啟動進程中。
美國NIST國家漏洞數(shù)據(jù)庫五月披露英特爾AMT技術中存在漏洞。AMT是在Intel ME上運行的固件應用。
當時,電子前沿基金會將這個漏洞稱之為安全隱患,基金會要求禁用英特爾芯片中的主控制器,并詳細介紹了該技術的運行方式。
ME Cleaner工具起一定作用,但卻無法完全禁用非官方工具ME Cleaner可在一定程度上阻止該技術,但卻無法完全禁用。該解決方案的項目說明指出,Intel ME是帶有模糊簽名的專用固件非移動環(huán)境,可完全訪問網(wǎng)絡和內(nèi)存,這會帶來嚴重的安全威脅。
研究人員發(fā)現(xiàn)禁用方法周一,Positive Technologies研究人員德米特里斯凱亞羅維、馬克埃爾莫勒沃和馬克西姆格瑞阿奇稱,他們在固件代碼中發(fā)現(xiàn)隱藏字節(jié),當設置為“1”時,即可禁用Intel ME。
這個字節(jié)被標記為“reserve_hap”,旁邊標注稱“啟動高保障平臺”(High Assurance Platform,HAP)。
激活HAP位后ME的狀態(tài)
HAP是美國NSA制定的IT安全框架,NSA可能希望禁用英特爾芯片的功能。
研究人員認為英特爾在NSA的命令下添加了這個ME禁用字節(jié),NSA需要禁用ME的方法,從而在高度敏感的環(huán)境中運行安全措施。ME或其中存在的任何固件漏洞可能會泄露高度敏感的信息,因此這是NSA不想冒險的原因。
英特爾發(fā)言人通過電子郵件向Positive Technologies表示,為了滿足客戶的特定需求,英特爾有時會修改或禁用某些功能。在這種情況下,英特爾應設備制造商的請求稍作修改,以支持客戶評估美國政府的HAP計劃。這些修改的驗證周期有限,并非正式支持的配置。
Positive Technologies指出,尚不清楚HAP是否會對啟動防護(Boot Guard)構成影響,但希望很快將會有答案。