Kirjoittaja Aihe: Intelin prosessoreissa haavoittuvuuksia  (Luettu 9082 kertaa)

spark

  • Käyttäjä
  • Viestejä: 1752
    • Profiili
Intelin prosessoreissa haavoittuvuuksia
« : 25.11.17 - klo:13.40 »
Lainaus
Intelin Management Engine on yhtiön prosessoreiden sisältä löytyvä yksikkö, joka on vastuussa muun muassa useista käynnistykseen liittyvistä tehtävistä ja etähallinnan mahdollistamisesta. Hiljattain useampi ulkopuolinen taho on raportoinut löytäneensä tapoja kiertää tai poistaa ME käytöstä osittain tai kokonaan, jonka myötä Intel on tutkinut järjestelmänsä läpikotaisin ongelmakohtien paikallistamiseksi.

Intelin julkaiseman raportin mukaan se on löytänyt useita haavoittuvuuksia paitsi ME:n, myös Server Platform Services:n (SPS) ja Trusted Execution Enginen (TXE) firmwareista. Haavoittuvuudet koskevat Intel ME:n versioita 11.0 – 11.20, SPS:n versiota 4.0 ja TXE:n versiota 3.0. Käytännössä tämä tarkoittaa 6., 7. ja 8. sukupolven Core-, Xeon E3-1200 v5- ja v6-, Xeon Scalable-, Xeon W-, Atom C3000-, Apollo Lake -arkkitehtuurin Atom E3900- ja Pentium- sekä Celeron N- ja J -prosessoreita.

Haavoittuvuuksien myötä hyökkääjä voi saada luvattoman pääsyn järjestelmään matalalla tasolla ohi ME:n, SPS:n tai TXE:n ja esimerkiksi ajaa järjestelmällä luvatonta koodia korkeilla oikeuksilla. Intel on julkaissut verkkosivuillaan sekä Windows- että Linux-alustoille työkalun, jolla voidaan tarkistaa käytössä olevan tietokoneen haavoittuvuus.

Aukot paikkaavat firmware-päivitykset on julkaistu jo järjestelmien ja emolevyjen valmistajille, mutta loppukäyttäjille päivityksiä on luvassa vasta, kun valmistajat saavat omat päivityksensä valmiiksi. Tähän mennessä Gigabyte on ilmoittanut tehneensä korjaukset ja aloittaneensa BIOS-päivitysten julkaisun emolevyilleen uusimmista malleista alkaen ja edeten kohti vanhempia malleja. Myös Lenovo ja Dell ovat raportoineet olevansa tietoisia ongelmista ja julkaisevansa omat päivityksensä mahdollisimman nopeasti.

Purism, joka kertoi onnistuneensa poistamaan ME:n täysin käytöstä kannettavissaan, uskoo ettei päivitykset vaikuta heidän ratkaisuunsa. Yhtiön mukaan heidän ja ilmeisesti myös NSA:n käyttämä tapa poistaa ME käytöstä ei ainakaan päällisin puolin näytä liittyvän nyt löydettyihin haavoittuvuuksiin, mutta luonnollisesti yhtiön on testattava metodin toiminta myös päivitetyillä firmwareversioilla.
https://www.io-tech.fi/uutinen/intelin-kuluttaja-ja-palvelinprosessoreista-loytyi-haavoittuvuus-paivityksia-luvassa-pikavauhtia/

Oman koneen haavoittuneisuuden voi testata Intelin työkalulla.

https://downloadcenter.intel.com/download/27150

1. Lataa paketti ja pura se kansioon.

2. Varmista, että alla olevat tiedostot on suoritettavia: 
intel_sa00086.py
spsInfoLinux64


3. Avaa terminaali kyseiseen kansioon ja aja komento:
sudo ./intel_sa00086.py

Koodia: [Valitse]
xx@xx-ThinkPad-T420:~/Lataukset/SA00086_Linux$ sudo ./intel_sa00086.py
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128
Scan date: 2017-11-25 11:28:12 GMT

*** Host Computer Information ***
Name: xx-ThinkPad-T420
Manufacturer: LENOVO
Model: 4236PFG
Processor Name: Intel(R) Core(TM) i7-2640M CPU @ 2.80GHz
OS Version: Ubuntu 17.10 artful (4.13.0-17-generic)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 7.1.20.1119
SVN: 0

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable.

For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Jos tuloksena on: This system is not vulnerable. ei huolta, mutta, jos: This system is vulnerable tai This system may be vulnerable, niin kannattaa varmuuden vuoksi katsella josko emo/konevalmistajan sivut tarjoaa bios päivitystä tälle haavalle.
« Viimeksi muokattu: 26.11.17 - klo:10.48 kirjoittanut spark »

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #1 : 25.11.17 - klo:15.04 »
Teksti on: This system may be vulnerable. Viimeisimät päiivtykset tälle koneelle ovat vuodelta 2010 ja nekin vain Windowsille, joten enpä usko että korjausta on tulossa. Viestintäviraston tiedotteessa luetellaan prosessorti joita ongelma koskee. Koneessani on Intel Pentium T4400, jota en tunnista listalta, joten ilmeisesti kone on tarpeeksi vanha?

raimo

  • Käyttäjä
  • Viestejä: 4269
  • openSUSE Tumbleweed
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #2 : 25.11.17 - klo:15.28 »
Miten kauan toi testi kestää? Olen odottanut minuutteja ja ainoa ulostus on:
Koodia: [Valitse]
raimo@kone-2:~/bin-2/fileaeIWAj$ sudo ./intel_sa00086.py
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128
Scan date: 2017-11-25 13:26:08 GMT

*** Host Computer Information ***
Name: kone-2
Manufacturer: Hewlett-Packard
Model: HP Compaq dc7800 Small Form Factor
Processor Name: Intel(R) Core(TM)2 Duo CPU     E7200  @ 2.53GHz
OS Version: neon 16.04 xenial (4.4.0-101-generic)
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #3 : 25.11.17 - klo:15.32 »
Miten kauan toi testi kestää?

Vilahti ihan hetkessä.

raimo

  • Käyttäjä
  • Viestejä: 4269
  • openSUSE Tumbleweed
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #4 : 25.11.17 - klo:15.34 »
Miten kauan toi testi kestää?

Vilahti ihan hetkessä.

No sitten siinä on bugi, koska jo 7 minuuttia on mennyt. Ctrl+C keskeyttää.
Ja sen jälkeen:
Koodia: [Valitse]
^[^CTraceback (most recent call last):
  File "./intel_sa00086.py", line 133, in <module>
    sys.exit(main())
  File "./intel_sa00086.py", line 75, in main
    ver_str, code, family, svn = get_fw_state()
  File "/home/raimo/bin-2/fileaeIWAj/heci.py", line 91, in get_fw_state
    fw_ver = get_fw_ver()
  File "/home/raimo/bin-2/fileaeIWAj/heci.py", line 71, in get_fw_ver
    fw_ver = mei.mkhi.fw_ver(mei_fd)
  File "/home/raimo/bin-2/fileaeIWAj/mei/mkhi.py", line 51, in fw_ver
    return get_fw_ver_str(mei_fd)
  File "/home/raimo/bin-2/fileaeIWAj/mei/mkhi.py", line 45, in get_fw_ver_str
    buf = os.read(mei_fd, VER_SIZE_MAX)
KeyboardInterrupt
« Viimeksi muokattu: 25.11.17 - klo:16.03 kirjoittanut raimo »
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

epiphone

  • Käyttäjä
  • Viestejä: 1111
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #5 : 25.11.17 - klo:16.09 »
Miten kauan toi testi kestää?

Vilahti ihan hetkessä.

No sitten siinä on bugi, koska jo 7 minuuttia on mennyt. Ctrl+C keskeyttää.

Kokeilin kanssa yhteen läppäriin, jossa on Intelin Celeron suoritin. Testi meni läpi sekunnissa. Ja sanoi, ettei prosessorini ole haavoittuneiden listalla. Minulla on kyllä useampi kone...  :-[
Kahvi on väkevin juomani

jekku

  • Käyttäjä
  • Viestejä: 2624
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #6 : 26.11.17 - klo:07.49 »
----
Kokeilin kanssa yhteen läppäriin, jossa on Intelin Celeron suoritin. Testi meni läpi sekunnissa. Ja sanoi, ettei prosessorini ole haavoittuneiden listalla. Minulla on kyllä useampi kone...  :-[

Kokeilin kolmeen HP:n koneeseen.
Koneessa johon tuon ensin latasin, meni hetkessä läpi mutta pari seuraavaa jumittelivat ja pysäytin.

Niissä kun ei toiminut:
Processor Name: Intel(R) Core(TM) i3 CPU       M 380  @ 2.53GHz
Processor Name: Intel(R) Core(TM) i5 CPU       M 540  @ 2.53GHz

Olisiko kärsivällisempi odottelu muuttanut tilannetta, en jaksanut kokeilla ;(

Edit:
Kokeilin vielä yhdessä, Dell E5500, siinä ilmoitti
Koodia: [Valitse]
*** Host Computer Information ***
Name: E5500
Manufacturer: Dell Inc.
Model: Latitude E5500
Processor Name: Genuine Intel(R) CPU             585  @ 2.16GHz
OS Version: Ubuntu 18.04 bionic (4.13.0-16-generic)

*** Risk Assessment ***
Detection Error: This system may be vulnerable, please install the Intel(R) MEI/TXEI driver (available from your system manufacturer).

For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr


Ja kuten odotettua, löysin ehdokkaita korjaustyökaluksi vain windblosille...

Onko kukaan löytänyt sellaista korjausta kun toimisi myös Linux-koneissa, vai toimii tuo haavoittuvuuskin vain redmondin systeemeissä?
« Viimeksi muokattu: 26.11.17 - klo:09.08 kirjoittanut jekku »

raimo

  • Käyttäjä
  • Viestejä: 4269
  • openSUSE Tumbleweed
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #7 : 26.11.17 - klo:09.28 »
Lainaus
Niissä kun ei toiminut:
Processor Name: Intel(R) Core(TM) i3 CPU       M 380  @ 2.53GHz
Processor Name: Intel(R) Core(TM) i5 CPU       M 540  @ 2.53GHz

Olisiko kärsivällisempi odottelu muuttanut tilannetta, en jaksanut kokeilla ;(

Minä odottelin puoli tuntia ja mitään ei tapahtunut, myöskään ohjelman tekemässä lokissa ei ollut muuta kuin se mikä päätteessä jo näkyi.
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

maksim

  • Käyttäjä
  • Viestejä: 256
  • Mikähän tässä nyt mättää?????
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #8 : 26.11.17 - klo:09.45 »
Minulla myös jumitti, mutta keskeytyksen ja uudelleen yrittäminen toimi ja tulos oli
This system may be vulnerable
Kyseessä läppäri ja Intel i5 CPU M520, ei siis ihan uusinta versiota.

spark

  • Käyttäjä
  • Viestejä: 1752
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #9 : 26.11.17 - klo:10.46 »
Ja kuten odotettua, löysin ehdokkaita korjaustyökaluksi vain windblosille...

Onko kukaan löytänyt sellaista korjausta kun toimisi myös Linux-koneissa, vai toimii tuo haavoittuvuuskin vain redmondin systeemeissä?

Tuo ajuri on varmaan joku pikainen paikka windowsille. Katso emovalmistajan sivulta, josko sinne olisi bios päivitystä saapunut.

jekku

  • Käyttäjä
  • Viestejä: 2624
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #10 : 26.11.17 - klo:11.01 »
Joskus yritin muuatta HP:n BIOS -päivitystä.
Sekin halusi windowsin - joten se siitä...

spark

  • Käyttäjä
  • Viestejä: 1752
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #11 : 26.11.17 - klo:14.42 »
Joskus yritin muuatta HP:n BIOS -päivitystä.
Sekin halusi windowsin - joten se siitä...

Pariin hp:n koneeseen olen biosin päivittänyt ja kyllä niihin löytyi biosit, jotka ei mitään käyttistä alle vaatinut.

jekku

  • Käyttäjä
  • Viestejä: 2624
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #12 : 26.11.17 - klo:15.59 »
Joskus yritin muuatta HP:n BIOS -päivitystä.
Sekin halusi windowsin - joten se siitä...

Pariin hp:n koneeseen olen biosin päivittänyt ja kyllä niihin löytyi biosit, jotka ei mitään käyttistä alle vaatinut.

Ahaa.

HP ZBook 15 on se alusta johon kollegat saivat päivityksen, mutta paikallinen tukijengi sanoi että ensin olisi asennettava windowsi.

No, koetin taas aikani surffailla mutta ilmeisesti en vain osaa ;(


spark

  • Käyttäjä
  • Viestejä: 1752
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #13 : 26.11.17 - klo:23.08 »
Joskus yritin muuatta HP:n BIOS -päivitystä.
Sekin halusi windowsin - joten se siitä...

Pariin hp:n koneeseen olen biosin päivittänyt ja kyllä niihin löytyi biosit, jotka ei mitään käyttistä alle vaatinut.

Ahaa.

HP ZBook 15 on se alusta johon kollegat saivat päivityksen, mutta paikallinen tukijengi sanoi että ensin olisi asennettava windowsi.

No, koetin taas aikani surffailla mutta ilmeisesti en vain osaa ;(

Pura win exe ja siirrä sieltä löytyvä .bin tiedosto tikulle. Käynnistä kone ja mene biosiin ja etsi sieltä päivitä bios toiminto ja navigoi purettuun .bin tiedostoon.

En ole 100%, että sinulla menee noin, mutta tuolla on toiselle läppärille tuommoinen ohje.

https://h30434.www3.hp.com/t5/Notebook-Operating-System-and-Recovery/How-to-update-BIOS-on-Linux/td-p/4869835
« Viimeksi muokattu: 26.11.17 - klo:23.14 kirjoittanut spark »

epiphone

  • Käyttäjä
  • Viestejä: 1111
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #14 : 27.11.17 - klo:00.34 »
Koitin yhteen pöytäkoneeseen, jossa on Intelin Core Duo suoritin. Tarkastus ei mene loppuun asti.
Jotakin Bugeja tässä nyt on.  :-[
Kahvi on väkevin juomani

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #15 : 27.11.17 - klo:08.24 »
Pura win exe ja siirrä sieltä löytyvä .bin tiedosto tikulle. Käynnistä kone ja mene biosiin ja etsi sieltä päivitä bios toiminto ja navigoi purettuun .bin tiedostoon.

En ole 100%, että sinulla menee noin, mutta tuolla on toiselle läppärille tuommoinen ohje.

https://h30434.www3.hp.com/t5/Notebook-Operating-System-and-Recovery/How-to-update-BIOS-on-Linux/td-p/4869835

BIOSseja ei tadia olla markkinoilla montaakaan, mutta en ole omien koneiden BIOSseista koskaan löytänyt tuota mahdollisuutta.

raimo

  • Käyttäjä
  • Viestejä: 4269
  • openSUSE Tumbleweed
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #16 : 27.11.17 - klo:12.01 »
Pura win exe ja siirrä sieltä löytyvä .bin tiedosto tikulle. Käynnistä kone ja mene biosiin ja etsi sieltä päivitä bios toiminto ja navigoi purettuun .bin tiedostoon.

En ole 100%, että sinulla menee noin, mutta tuolla on toiselle läppärille tuommoinen ohje.

https://h30434.www3.hp.com/t5/Notebook-Operating-System-and-Recovery/How-to-update-BIOS-on-Linux/td-p/4869835

BIOSseja ei tadia olla markkinoilla montaakaan, mutta en ole omien koneiden BIOSseista koskaan löytänyt tuota mahdollisuutta.

Minun HP:ssä on BIOSin päivitysmahdollisuus siellä BIOSsissa.
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

spark

  • Käyttäjä
  • Viestejä: 1752
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #17 : 27.11.17 - klo:17.42 »
Pura win exe ja siirrä sieltä löytyvä .bin tiedosto tikulle. Käynnistä kone ja mene biosiin ja etsi sieltä päivitä bios toiminto ja navigoi purettuun .bin tiedostoon.

En ole 100%, että sinulla menee noin, mutta tuolla on toiselle läppärille tuommoinen ohje.

https://h30434.www3.hp.com/t5/Notebook-Operating-System-and-Recovery/How-to-update-BIOS-on-Linux/td-p/4869835

BIOSseja ei tadia olla markkinoilla montaakaan, mutta en ole omien koneiden BIOSseista koskaan löytänyt tuota mahdollisuutta.

Erikoisia koneita sinulla on, kun minun koneissa moinen perusominaisuus on ollut kaikissa  :o

SuperOscar

  • Käyttäjä
  • Viestejä: 4062
  • Ocatarinetabellatsumtsum!
    • Profiili
    • Legisign.org
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #18 : 28.11.17 - klo:09.04 »
Erikoisia koneita sinulla on, kun minun koneissa moinen perusominaisuus on ollut kaikissa  :o

Ehkä vain vanhempia. Minulla taitaa vain kahden viime vuoden aikana ostetuissa olla päivitysominaisuus BIOSissa, vanhemmissa ei.
pöytäkone 1, NUC: openSUSE Leap 15.6, kannettavat 1–3: Debian GNU/Linux 12; pöytäkone 2: openSUSE Tumbleweed; RPi 1: FreeBSD 14-RELEASE; RPi 2: LibreELEC 11

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Vs: Intelin prosessoreissa haavoittuvuuksia
« Vastaus #19 : 28.11.17 - klo:09.24 »
Ehkä vain vanhempia. Minulla taitaa vain kahden viime vuoden aikana ostetuissa olla päivitysominaisuus BIOSissa, vanhemmissa ei.

Näin veikkaan minäkin.