Intelin prosessoreissa haavoittuvuuksia

[spark]

Intelin Management Engine on yhtiön prosessoreiden sisältä löytyvä yksikkö, joka on vastuussa muun muassa useista käynnistykseen liittyvistä tehtävistä ja etähallinnan mahdollistamisesta. Hiljattain useampi ulkopuolinen taho on raportoinut löytäneensä tapoja kiertää tai poistaa ME käytöstä osittain tai kokonaan, jonka myötä Intel on tutkinut järjestelmänsä läpikotaisin ongelmakohtien paikallistamiseksi.

Intelin julkaiseman raportin mukaan se on löytänyt useita haavoittuvuuksia paitsi ME:n, myös Server Platform Services:n (SPS) ja Trusted Execution Enginen (TXE) firmwareista. Haavoittuvuudet koskevat Intel ME:n versioita 11.0 – 11.20, SPS:n versiota 4.0 ja TXE:n versiota 3.0. Käytännössä tämä tarkoittaa 6., 7. ja 8. sukupolven Core-, Xeon E3-1200 v5- ja v6-, Xeon Scalable-, Xeon W-, Atom C3000-, Apollo Lake -arkkitehtuurin Atom E3900- ja Pentium- sekä Celeron N- ja J -prosessoreita.

Haavoittuvuuksien myötä hyökkääjä voi saada luvattoman pääsyn järjestelmään matalalla tasolla ohi ME:n, SPS:n tai TXE:n ja esimerkiksi ajaa järjestelmällä luvatonta koodia korkeilla oikeuksilla. Intel on julkaissut verkkosivuillaan sekä Windows- että Linux-alustoille työkalun, jolla voidaan tarkistaa käytössä olevan tietokoneen haavoittuvuus.

Aukot paikkaavat firmware-päivitykset on julkaistu jo järjestelmien ja emolevyjen valmistajille, mutta loppukäyttäjille päivityksiä on luvassa vasta, kun valmistajat saavat omat päivityksensä valmiiksi. Tähän mennessä Gigabyte on ilmoittanut tehneensä korjaukset ja aloittaneensa BIOS-päivitysten julkaisun emolevyilleen uusimmista malleista alkaen ja edeten kohti vanhempia malleja. Myös Lenovo ja Dell ovat raportoineet olevansa tietoisia ongelmista ja julkaisevansa omat päivityksensä mahdollisimman nopeasti.

Purism, joka kertoi onnistuneensa poistamaan ME:n täysin käytöstä kannettavissaan, uskoo ettei päivitykset vaikuta heidän ratkaisuunsa. Yhtiön mukaan heidän ja ilmeisesti myös NSA:n käyttämä tapa poistaa ME käytöstä ei ainakaan päällisin puolin näytä liittyvän nyt löydettyihin haavoittuvuuksiin, mutta luonnollisesti yhtiön on testattava metodin toiminta myös päivitetyillä firmwareversioilla.

https://www.io-tech.fi/uutinen/intelin-kuluttaja-ja-palvelinprosessoreista-loytyi-haavoittuvuus-paivityksia-luvassa-pikavauhtia/

Oman koneen haavoittuneisuuden voi testata Intelin työkalulla.

https://downloadcenter.intel.com/download/27150

1. Lataa paketti ja pura se kansioon.

2. Varmista, että alla olevat tiedostot on suoritettavia: 
intel_sa00086.py
spsInfoLinux64

3. Avaa terminaali kyseiseen kansioon ja aja komento:
sudo ./intel_sa00086.py

Koodia: [Valitse]

xx@xx-ThinkPad-T420:~/Lataukset/SA00086_Linux$ sudo ./intel_sa00086.py
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128
Scan date: 2017-11-25 11:28:12 GMT

*** Host Computer Information ***
Name: xx-ThinkPad-T420
Manufacturer: LENOVO
Model: 4236PFG
Processor Name: Intel(R) Core(TM) i7-2640M CPU @ 2.80GHz
OS Version: Ubuntu 17.10 artful (4.13.0-17-generic)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 7.1.20.1119
SVN: 0

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable.

For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Jos tuloksena on: This system is not vulnerable. ei huolta, mutta, jos: This system is vulnerable tai This system may be vulnerable, niin kannattaa varmuuden vuoksi katsella josko emo/konevalmistajan sivut tarjoaa bios päivitystä tälle haavalle.

[AimoE]

Teksti on: This system may be vulnerable. Viimeisimät päiivtykset tälle koneelle ovat vuodelta 2010 ja nekin vain Windowsille, joten enpä usko että korjausta on tulossa. Viestintäviraston tiedotteessa luetellaan prosessorti joita ongelma koskee. Koneessani on Intel Pentium T4400, jota en tunnista listalta, joten ilmeisesti kone on tarpeeksi vanha?

[raimo]

Miten kauan toi testi kestää? Olen odottanut minuutteja ja ainoa ulostus on:

Koodia: [Valitse]

raimo@kone-2:~/bin-2/fileaeIWAj$ sudo ./intel_sa00086.py
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128
Scan date: 2017-11-25 13:26:08 GMT

*** Host Computer Information ***
Name: kone-2
Manufacturer: Hewlett-Packard
Model: HP Compaq dc7800 Small Form Factor
Processor Name: Intel(R) Core(TM)2 Duo CPU     E7200  @ 2.53GHz
OS Version: neon 16.04 xenial (4.4.0-101-generic)


[AimoE]

Miten kauan toi testi kestää?

Vilahti ihan hetkessä.

[raimo]

Miten kauan toi testi kestää?

Vilahti ihan hetkessä.

No sitten siinä on bugi, koska jo 7 minuuttia on mennyt. Ctrl+C keskeyttää.
Ja sen jälkeen:

Koodia: [Valitse]

^[^CTraceback (most recent call last):
  File "./intel_sa00086.py", line 133, in <module>
    sys.exit(main())
  File "./intel_sa00086.py", line 75, in main
    ver_str, code, family, svn = get_fw_state()
  File "/home/raimo/bin-2/fileaeIWAj/heci.py", line 91, in get_fw_state
    fw_ver = get_fw_ver()
  File "/home/raimo/bin-2/fileaeIWAj/heci.py", line 71, in get_fw_ver
    fw_ver = mei.mkhi.fw_ver(mei_fd)
  File "/home/raimo/bin-2/fileaeIWAj/mei/mkhi.py", line 51, in fw_ver
    return get_fw_ver_str(mei_fd)
  File "/home/raimo/bin-2/fileaeIWAj/mei/mkhi.py", line 45, in get_fw_ver_str
    buf = os.read(mei_fd, VER_SIZE_MAX)
KeyboardInterrupt


[epiphone]

Miten kauan toi testi kestää?

Vilahti ihan hetkessä.

No sitten siinä on bugi, koska jo 7 minuuttia on mennyt. Ctrl+C keskeyttää.

Kokeilin kanssa yhteen läppäriin, jossa on Intelin Celeron suoritin. Testi meni läpi sekunnissa. Ja sanoi, ettei prosessorini ole haavoittuneiden listalla. Minulla on kyllä useampi kone... 

[jekku]

----
Kokeilin kanssa yhteen läppäriin, jossa on Intelin Celeron suoritin. Testi meni läpi sekunnissa. Ja sanoi, ettei prosessorini ole haavoittuneiden listalla. Minulla on kyllä useampi kone... 

Kokeilin kolmeen HP:n koneeseen.
Koneessa johon tuon ensin latasin, meni hetkessä läpi mutta pari seuraavaa jumittelivat ja pysäytin.

Niissä kun ei toiminut:
Processor Name: Intel(R) Core(TM) i3 CPU       M 380  @ 2.53GHz
Processor Name: Intel(R) Core(TM) i5 CPU       M 540  @ 2.53GHz

Olisiko kärsivällisempi odottelu muuttanut tilannetta, en jaksanut kokeilla ;(

Edit:
Kokeilin vielä yhdessä, Dell E5500, siinä ilmoitti

Koodia: [Valitse]

*** Host Computer Information ***
Name: E5500
Manufacturer: Dell Inc.
Model: Latitude E5500
Processor Name: Genuine Intel(R) CPU             585  @ 2.16GHz
OS Version: Ubuntu 18.04 bionic (4.13.0-16-generic)

*** Risk Assessment ***
Detection Error: This system may be vulnerable, please install the Intel(R) MEI/TXEI driver (available from your system manufacturer).

For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr


Ja kuten odotettua, löysin ehdokkaita korjaustyökaluksi vain windblosille...

Onko kukaan löytänyt sellaista korjausta kun toimisi myös Linux-koneissa, vai toimii tuo haavoittuvuuskin vain redmondin systeemeissä?

[raimo]

Niissä kun ei toiminut:
Processor Name: Intel(R) Core(TM) i3 CPU       M 380  @ 2.53GHz
Processor Name: Intel(R) Core(TM) i5 CPU       M 540  @ 2.53GHz

Olisiko kärsivällisempi odottelu muuttanut tilannetta, en jaksanut kokeilla ;(

Minä odottelin puoli tuntia ja mitään ei tapahtunut, myöskään ohjelman tekemässä lokissa ei ollut muuta kuin se mikä päätteessä jo näkyi.

[maksim]

Minulla myös jumitti, mutta keskeytyksen ja uudelleen yrittäminen toimi ja tulos oli
This system may be vulnerable
Kyseessä läppäri ja Intel i5 CPU M520, ei siis ihan uusinta versiota.

[spark]

Ja kuten odotettua, löysin ehdokkaita korjaustyökaluksi vain windblosille...

Onko kukaan löytänyt sellaista korjausta kun toimisi myös Linux-koneissa, vai toimii tuo haavoittuvuuskin vain redmondin systeemeissä?

Tuo ajuri on varmaan joku pikainen paikka windowsille. Katso emovalmistajan sivulta, josko sinne olisi bios päivitystä saapunut.

[jekku]

Joskus yritin muuatta HP:n BIOS -päivitystä.
Sekin halusi windowsin - joten se siitä...

[spark]

Joskus yritin muuatta HP:n BIOS -päivitystä.
Sekin halusi windowsin - joten se siitä...

Pariin hp:n koneeseen olen biosin päivittänyt ja kyllä niihin löytyi biosit, jotka ei mitään käyttistä alle vaatinut.

[jekku]

Joskus yritin muuatta HP:n BIOS -päivitystä.
Sekin halusi windowsin - joten se siitä...

Pariin hp:n koneeseen olen biosin päivittänyt ja kyllä niihin löytyi biosit, jotka ei mitään käyttistä alle vaatinut.

Ahaa.

HP ZBook 15 on se alusta johon kollegat saivat päivityksen, mutta paikallinen tukijengi sanoi että ensin olisi asennettava windowsi.

No, koetin taas aikani surffailla mutta ilmeisesti en vain osaa ;(

[spark]

Joskus yritin muuatta HP:n BIOS -päivitystä.
Sekin halusi windowsin - joten se siitä...

Pariin hp:n koneeseen olen biosin päivittänyt ja kyllä niihin löytyi biosit, jotka ei mitään käyttistä alle vaatinut.

Ahaa.

HP ZBook 15 on se alusta johon kollegat saivat päivityksen, mutta paikallinen tukijengi sanoi että ensin olisi asennettava windowsi.

No, koetin taas aikani surffailla mutta ilmeisesti en vain osaa ;(

Pura win exe ja siirrä sieltä löytyvä .bin tiedosto tikulle. Käynnistä kone ja mene biosiin ja etsi sieltä päivitä bios toiminto ja navigoi purettuun .bin tiedostoon.

En ole 100%, että sinulla menee noin, mutta tuolla on toiselle läppärille tuommoinen ohje.

https://h30434.www3.hp.com/t5/Notebook-Operating-System-and-Recovery/How-to-update-BIOS-on-Linux/td-p/4869835

[epiphone]

Koitin yhteen pöytäkoneeseen, jossa on Intelin Core Duo suoritin. Tarkastus ei mene loppuun asti.
Jotakin Bugeja tässä nyt on. 

[AimoE]

Pura win exe ja siirrä sieltä löytyvä .bin tiedosto tikulle. Käynnistä kone ja mene biosiin ja etsi sieltä päivitä bios toiminto ja navigoi purettuun .bin tiedostoon.

En ole 100%, että sinulla menee noin, mutta tuolla on toiselle läppärille tuommoinen ohje.

https://h30434.www3.hp.com/t5/Notebook-Operating-System-and-Recovery/How-to-update-BIOS-on-Linux/td-p/4869835

BIOSseja ei tadia olla markkinoilla montaakaan, mutta en ole omien koneiden BIOSseista koskaan löytänyt tuota mahdollisuutta.

[raimo]

Pura win exe ja siirrä sieltä löytyvä .bin tiedosto tikulle. Käynnistä kone ja mene biosiin ja etsi sieltä päivitä bios toiminto ja navigoi purettuun .bin tiedostoon.

En ole 100%, että sinulla menee noin, mutta tuolla on toiselle läppärille tuommoinen ohje.

https://h30434.www3.hp.com/t5/Notebook-Operating-System-and-Recovery/How-to-update-BIOS-on-Linux/td-p/4869835

BIOSseja ei tadia olla markkinoilla montaakaan, mutta en ole omien koneiden BIOSseista koskaan löytänyt tuota mahdollisuutta.

Minun HP:ssä on BIOSin päivitysmahdollisuus siellä BIOSsissa.

[spark]

Pura win exe ja siirrä sieltä löytyvä .bin tiedosto tikulle. Käynnistä kone ja mene biosiin ja etsi sieltä päivitä bios toiminto ja navigoi purettuun .bin tiedostoon.

En ole 100%, että sinulla menee noin, mutta tuolla on toiselle läppärille tuommoinen ohje.

https://h30434.www3.hp.com/t5/Notebook-Operating-System-and-Recovery/How-to-update-BIOS-on-Linux/td-p/4869835

BIOSseja ei tadia olla markkinoilla montaakaan, mutta en ole omien koneiden BIOSseista koskaan löytänyt tuota mahdollisuutta.

Erikoisia koneita sinulla on, kun minun koneissa moinen perusominaisuus on ollut kaikissa 

[SuperOscar]

Erikoisia koneita sinulla on, kun minun koneissa moinen perusominaisuus on ollut kaikissa 

Ehkä vain vanhempia. Minulla taitaa vain kahden viime vuoden aikana ostetuissa olla päivitysominaisuus BIOSissa, vanhemmissa ei.

[AimoE]

Ehkä vain vanhempia. Minulla taitaa vain kahden viime vuoden aikana ostetuissa olla päivitysominaisuus BIOSissa, vanhemmissa ei.

Näin veikkaan minäkin.