Jump to content

Технология Intel Active Management

Часть веб-интерфейса управления Intel AMT, доступная даже когда компьютер находится в спящем режиме.

Технология Intel Active Management ( AMT ) — это аппаратное и встроенное ПО для удаленного внешнего управления некоторыми бизнес-компьютерами. [1] [2] работающий на Intel Management Engine — подсистеме микропроцессора, недоступной для пользователя и предназначенной для мониторинга, обслуживания, обновления и ремонта систем. [1] Внеполосное (OOB) или аппаратное управление отличается от программного (или внутриполосного) управления и программных агентов управления. [1]

Аппаратное управление работает на другом уровне, чем программные приложения, и использует канал связи (через стек TCP/IP ), который отличается от программного взаимодействия (который осуществляется через программный стек операционной системы). Аппаратное управление не зависит от наличия ОС или локально установленного агента управления. В прошлом аппаратное управление было доступно на компьютерах на базе процессоров Intel/AMD, но оно в основном ограничивалось автоматической настройкой с использованием DHCP или BOOTP для динамического распределения IP-адресов и бездисковых рабочих станций , а также пробуждением по локальной сети ( WOL) для удаленного включения систем. [3] AMT не предназначен для использования отдельно; он предназначен для использования вместе с приложением управления программным обеспечением. [1] Он предоставляет приложению управления (и, следовательно, системному администратору, который его использует) доступ к ПК по проводу для удаленного выполнения задач, которые сложны, а иногда и невозможны при работе на ПК, в котором нет встроенных функций удаленного доступа. [1] [4] [5]

AMT встроен в служебный процессор, расположенный на материнской плате, и использует TLS защищенную связь и надежное шифрование для обеспечения дополнительной безопасности. [6] AMT встроен в ПК с технологией Intel vPro и основан на Intel Management Engine (ME). [6] AMT перешла к расширению поддержки стандартов DMTF для настольной и мобильной архитектуры системного оборудования (DASH), а версия AMT 5.1 и более поздние версии представляют собой реализацию стандартов DASH версии 1.0/1.1 для внеполосного управления. [7] AMT обеспечивает функциональность, аналогичную IPMI , хотя AMT предназначен для клиентских вычислительных систем по сравнению с обычно серверным IPMI.

В настоящее время AMT доступен на настольных компьютерах, серверах, ультрабуках, планшетах и ​​ноутбуках с семейством процессоров Intel Core vPro , включая семейство продуктов Intel Core i5, Core i7, Core i9 и Intel Xeon E3-1000, Xeon E, Xeon W-1000. . [1] [8] [9] Для AMT также требуется сетевая карта Intel и корпоративная версия двоичного файла Intel Management Engine. [10]

Intel подтвердила ошибку удаленного повышения привилегий ( CVE 2017-5689 , SA-00075) в разделе «Технологии управления» от 1 мая 2017 г. [11] Каждая платформа Intel со стандартной управляемостью Intel, технологией активного управления или технологией малого бизнеса, от Nehalem в 2008 году до Kaby Lake в 2017 году, имеет дыру в безопасности в ME, которую можно использовать удаленно. [12] [13] Некоторые производители, такие как Purism [14] и Система76 [15] уже продают оборудование с отключенным Intel Management Engine, чтобы предотвратить удаленный эксплойт. Дополнительные серьезные недостатки безопасности в ME, затрагивающие очень большое количество компьютеров, включающих Management Engine, Trusted Execution Engine и прошивку Server Platform Services , от Skylake в 2015 году до Coffee Lake в 2017 году, были подтверждены Intel 20 ноября 2017 года (SA- 00086).

Платный доступ к сервису

[ редактировать ]

Хотя iAMT может быть бесплатно включен в устройства, продаваемые населению и малому бизнесу, все возможности iAMT, включая зашифрованный удаленный доступ через сертификат открытого ключа и автоматическое предоставление удаленных устройств ненастроенным клиентам iAMT, недоступны бесплатно для пользователей. широкой публике или непосредственным владельцам устройств, оборудованных iAMT. iAMT не может быть полностью использована с максимальным потенциалом без приобретения дополнительного программного обеспечения или услуг управления у Intel или другого независимого поставщика программного обеспечения (ISV) или реселлера с добавленной стоимостью (VAR).

Сама Intel предоставляет пакет программного обеспечения для разработчиков , который обеспечивает базовый доступ к iAMT, но не предназначен для обычного использования для доступа к этой технологии. [16] Поддерживаются только базовые режимы доступа без полного доступа к зашифрованным сообщениям всей приобретенной системы управления. [17]

Функции

[ редактировать ]

Intel AMT включает в себя аппаратные функции удаленного управления, безопасности, управления питанием и удаленной настройки, которые обеспечивают независимый удаленный доступ к ПК с поддержкой AMT. [5] Intel AMT — это технология безопасности и управления, встроенная в ПК с технологией Intel vPro . [1]

Intel AMT использует аппаратный внеполосный канал связи (OOB). [1] который работает независимо от наличия работающей операционной системы. Канал связи не зависит от состояния питания ПК, наличия агента управления и состояния многих аппаратных компонентов, таких как жесткие диски и память .

Большинство функций AMT доступны вне зависимости от состояния питания ПК. [1] Другие функции требуют включения ПК (например, перенаправление консоли через последовательный порт через локальную сеть (SOL), проверка присутствия агента и фильтрация сетевого трафика). [1] Intel AMT имеет возможность удаленного включения питания.

Аппаратные функции можно комбинировать со сценариями для автоматизации обслуживания и обслуживания. [1]

Аппаратные функции AMT на ноутбуках и настольных ПК включают:

Ноутбуки с AMT также оснащены беспроводными технологиями:

История

[ редактировать ]
Основная статья: Версии Intel AMT

Обновления программного обеспечения обеспечивают обновление до следующей дополнительной версии Intel AMT. Новые основные версии Intel AMT встроены в новый набор микросхем и обновляются с помощью нового оборудования. [6]

Приложения

[ редактировать ]

Почти все функции AMT доступны, даже если компьютер выключен, но к нему подключен шнур питания, в случае сбоя операционной системы, отсутствия программного агента или если оборудование (например, жесткий диск или память) потерпел неудачу. [1] [6] Функция перенаправления консоли ( SOL ), проверка присутствия агента и фильтры сетевого трафика доступны после включения компьютера. [1] [6]

Intel AMT поддерживает следующие задачи управления:

  • Удаленно включайте, выключайте, выключайте и перезагружайте компьютер. [1]
  • ПК Удаленная загрузка ПК путем удаленного перенаправления процесса загрузки , в результате чего он загружается из другого образа, например из сетевого ресурса , загрузочного компакт-диска или DVD-диска , восстановительного диска или другого загрузочного устройства. [1] [5] Эта функция поддерживает удаленную загрузку ПК с поврежденной или отсутствующей ОС.
  • Удаленно перенаправьте системный ввод-вывод через перенаправление консоли через последовательный порт через локальную сеть (SOL). [1] Эта функция поддерживает удаленное устранение неполадок, удаленное восстановление, обновление программного обеспечения и аналогичные процессы.
  • Доступ и изменение настроек BIOS удаленно. [1] Эта функция доступна, даже если питание ПК выключено, операционная система не работает или аппаратное обеспечение неисправно. Эта функция предназначена для удаленного обновления и исправления параметров конфигурации. Эта функция поддерживает полное обновление BIOS, а не только изменение определенных настроек.
  • Обнаружение подозрительного сетевого трафика. [1] [18] В портативных и настольных ПК эта функция позволяет системному администратору определять события, которые могут указывать на входящую или исходящую угрозу, в заголовке сетевого пакета . В настольных ПК эта функция также поддерживает обнаружение известных и/или неизвестных угроз (включая медленно и быстро движущихся компьютерных червей ) в сетевом трафике с помощью временных эвристических фильтров. Сетевой трафик проверяется до того, как он достигнет ОС, поэтому он также проверяется перед загрузкой ОС и программных приложений, а также после их завершения (традиционно уязвимый период для ПК). [ нужна ссылка ] ).
  • Блокируйте или ограничивайте скорость сетевого трафика, входящего и исходящего от систем, подозреваемых в заражении или компрометации компьютерными вирусами , компьютерными червями или другими угрозами. [1] [18] Эта функция использует аппаратную схему изоляции Intel AMT, которую можно активировать вручную (удаленно, системным администратором) или автоматически, в зависимости от ИТ-политики (конкретного события).
  • Управляйте аппаратными фильтрами пакетов во встроенном сетевом адаптере . [1] [18]
  • Автоматически отправляйте данные OOB на ИТ-консоль, когда критически важный программный агент пропускает назначенную регистрацию, с помощью программируемого аппаратного таймера на основе политик . [1] [18] «Промах» указывает на потенциальную проблему. Эту функцию можно объединить с оповещениями OOB, чтобы ИТ-консоль уведомлялась только при возникновении потенциальной проблемы (помогает предотвратить перегрузку сети ненужными «положительными» уведомлениями о событиях).
  • Получайте события ловушки событий платформы (PET) вне канала от подсистемы AMT (например, события, указывающие на зависание или сбой операционной системы или на взлома пароля ). попытку [1] Оповещение может быть выдано при наступлении события (например, при несоответствии требованиям в сочетании с проверкой присутствия агента) или при достижении порогового значения (например, достижения определенной скорости вращения вентилятора).
  • Доступ к постоянному журналу событий, хранящемуся в защищенной памяти. [1] Журнал событий доступен вне системы, даже если операционная система не работает или оборудование уже вышло из строя.
  • Откройте для себя систему AMT независимо от состояния питания ПК или состояния ОС. [1] Обнаружение (предзагрузочный доступ к UUID ) доступно, если система выключена, ее операционная система скомпрометирована или не работает, оборудование (например, жесткий диск или память ) неисправно или агенты управления отсутствуют.
  • Выполните инвентаризацию программного обеспечения или получите доступ к информации о программном обеспечении на ПК. [1] Эта функция позволяет стороннему поставщику программного обеспечения хранить информацию об активах или версиях программного обеспечения для локальных приложений в защищенной памяти Intel AMT. (Это защищенное хранилище данных стороннего производителя, которое отличается от защищенной памяти AMT для информации об аппаратных компонентах и ​​другой системной информации). Доступ к стороннему хранилищу данных OOB может получить системный администратор. Например, антивирусная программа может хранить информацию о версии в защищенной памяти, доступной для сторонних данных. Компьютерный сценарий может использовать эту функцию для определения компьютеров, которые необходимо обновить.
  • Выполните инвентаризацию оборудования, загрузив список аппаратных средств удаленного ПК (платформа, контроллер управления основной платой , BIOS , процессор , память , диски, портативные батареи, сменные блоки и другая информация). [1] Информация об аппаратных ресурсах обновляется каждый раз, когда система проходит самотестирование при включении питания (POST).

Начиная с основной версии 6, Intel AMT включает собственный VNC-сервер для внеполосного доступа с использованием специальной технологии просмотра, совместимой с VNC, и обладает всеми возможностями KVM (клавиатура, видео, мышь) на протяжении всего цикла питания, включая бесперебойное управление рабочий стол при загрузке операционной системы. Клиенты, такие как VNC Viewer Plus от RealVNC, также предоставляют дополнительные функции, которые могут упростить выполнение (и просмотр) определенных операций Intel AMT, таких как выключение и включение компьютера, настройка BIOS и подключение удаленного образа (IDER).

Обеспечение и интеграция

[ редактировать ]

AMT поддерживает на основе сертификатов или PSK удаленную подготовку (полное удаленное развертывание), настройку на основе USB -ключа («подготовка в одно касание»), настройку вручную. [1] и инициализация с использованием агента на локальном хосте («Предоставление на основе хоста»). OEM-производитель также может предварительно обеспечить AMT. [19]

Текущая версия AMT поддерживает удаленное развертывание как на ноутбуках, так и на настольных ПК. (Удаленное развертывание было одной из ключевых функций, отсутствовавших в более ранних версиях AMT и которая задержала принятие AMT на рынке.) [5] Удаленное развертывание до недавнего времени было возможно только внутри корпоративной сети. [22] Удаленное развертывание позволяет системному администратору развертывать компьютеры, не «прикасаясь» к системам физически. [1] Это также позволяет системному администратору отложить развертывание и ввести в эксплуатацию ПК на определенный период времени, прежде чем сделать функции AMT доступными для ИТ-консоли. [23] По мере развития моделей доставки и развертывания AMT теперь можно развертывать через Интернет, используя как методы «нулевого касания», так и методы на основе хоста. [24]

ПК можно продавать с включенной или отключенной AMT. определяет OEM-производитель , следует ли поставлять AMT с возможностями, готовыми к настройке (включенными) или отключенными. Процесс установки и настройки может различаться в зависимости от OEM-сборки. [19]

AMT включает в себя приложение Privacy Icon, называемое IMSS. [25] который уведомляет пользователя системы, если AMT включен. OEM-производитель должен решить, хотят ли они отображать значок или нет.

AMT поддерживает различные методы отключения технологии управления и безопасности, а также различные методы повторного включения технологии. [1] [23] [26] [27]

AMT можно частично отключить с помощью параметров конфигурации или полностью отключить, удалив все параметры конфигурации, учетные данные безопасности, а также рабочие и сетевые параметры. [28] Частичная отмена подготовки оставляет компьютер в состоянии настройки. В этом состоянии ПК может самостоятельно инициировать автоматизированный процесс удаленной настройки. При полной отмене подготовки удаляется профиль конфигурации, а также учетные данные безопасности и операционные/сетевые настройки, необходимые для связи с Intel Management Engine. Полная отмена подготовки возвращает Intel AMT к заводскому состоянию по умолчанию.

После отключения AMT, чтобы снова включить AMT, авторизованный системный администратор может восстановить учетные данные безопасности, необходимые для выполнения удаленной настройки, одним из следующих способов:

  • Использование процесса удаленной настройки (полностью автоматизированная, удаленная настройка с помощью сертификатов и ключей). [1]
  • Физический доступ к ПК для восстановления учетных данных безопасности либо с помощью USB-ключа, либо путем ввода учетных данных и параметров MEBx вручную. [1]

Существует способ полностью сбросить AMT и вернуться к заводским настройкам. Это можно сделать двумя способами:

Установка и интеграция AMT поддерживается службой установки и настройки (для автоматической установки), инструментом веб-сервера AMT (входит в состав Intel AMT) и AMT Commander — неподдерживаемым бесплатным проприетарным приложением, доступным на веб-сайте Intel.

Коммуникация

[ редактировать ]

Весь доступ к функциям Intel AMT осуществляется через Intel Management Engine, встроенный в аппаратное обеспечение и встроенное ПО ПК. [1] Связь AMT зависит от состояния Management Engine, а не от состояния ОС ПК.

Канал связи AMT OOB, являющийся частью Intel Management Engine, основан на TCP/IP стеке микропрограмм , встроенном в системное оборудование. [1] Поскольку он основан на стеке TCP/IP, удаленная связь с AMT происходит через сетевой путь данных до того, как связь будет передана в ОС.

Intel AMT поддерживает проводные и беспроводные сети. [1] [8] [20] [29] Для беспроводных ноутбуков, работающих от аккумулятора, внешняя связь доступна, когда система активна и подключена к корпоративной сети, даже если операционная система не работает. (VPN) на базе ОС хоста, Внешняя связь также доступна для беспроводных или проводных ноутбуков, подключенных к корпоративной сети через виртуальную частную сеть когда ноутбуки активны и работают правильно.

AMT версии 4.0 и выше может установить безопасный туннель связи между проводным ПК и ИТ-консолью за пределами корпоративного межсетевого экрана. [1] [30] В этой схеме сервер присутствия управления (Intel называет это «шлюзом с поддержкой vPro») проверяет подлинность ПК, открывает безопасный туннель TLS между ИТ-консолью и ПК и обеспечивает связь. [1] [31] Эта схема предназначена для того, чтобы помочь пользователю или самому ПК запросить техническое обслуживание или сервис, когда он находится в дополнительных офисах или аналогичных местах, где нет локального прокси-сервера или устройства управления.

Технология, обеспечивающая безопасность связи за пределами корпоративного брандмауэра , является относительно новой. Также требуется инфраструктуры наличие , включая поддержку со стороны ИТ-консолей и межсетевых экранов.

Компьютер AMT хранит информацию о конфигурации системы в защищенной памяти. Для ПК версии 4.0 и выше эта информация может включать имена соответствующих серверов управления из « белого списка » компании. Когда пользователь пытается инициировать удаленный сеанс между проводным ПК и сервером компании из открытой локальной сети , AMT отправляет сохраненную информацию на сервер присутствия управления (MPS) в «демилитаризованной зоне» («DMZ»), которая существует между корпоративный межсетевой экран и межсетевые экраны клиента (пользовательского ПК). MPS использует эту информацию для аутентификации ПК. Затем MPS обеспечивает связь между ноутбуком и серверами управления компании. [1]

Поскольку связь аутентифицирована, безопасный туннель связи можно открыть с использованием шифрования TLS . После установки безопасной связи между ИТ-консолью и Intel AMT на ПК пользователя системный администратор может использовать типичные функции AMT для удаленной диагностики, ремонта, обслуживания или обновления ПК. [1]

Дизайн

[ редактировать ]

Аппаратное обеспечение

[ редактировать ]
Основная статья: Intel Management Engine

Management Engine (ME) — это изолированный и защищенный сопроцессор, встроенный в качестве необязательного [32] участие во всех текущих (по состоянию на 2015 год) ) Чипсеты Intel. [33]

Начиная с ME 11, он основан на Intel Quark 32-разрядном процессоре x86 и работает под управлением операционной системы MINIX 3 . Состояние ME сохраняется в разделе флэш-памяти SPI с использованием встроенной файловой системы флэш-памяти (EFFS). [34] Предыдущие версии были основаны на ядре ARC , а Management Engine работал под управлением ThreadX RTOS от Express Logic . В версиях ME от 1.x до 5.x использовался ARCTangent-A4 (только 32-битные инструкции), тогда как в версиях от 6.x до 8.x использовался более новый ARCompact (смешанная 32- и 16-битная архитектура набора команд ). Начиная с ME 7.1, процессор ARC также мог выполнять подписанные Java-апплеты .

ME использует тот же сетевой интерфейс и IP-адрес, что и хост-система. Трафик маршрутизируется на основе пакетов на порты 16992–16995. Поддержка существует в различных контроллерах Intel Ethernet, экспортируемых и настраиваемых через транспортный протокол компонентов управления (MCTP). [35] [36] ME также связывается с хостом через интерфейс PCI. [34] В Linux связь между хостом и ME осуществляется через /dev/mei[33] или совсем недавно [37] /dev/mei0. [38]

До выпуска процессоров Nehalem ME обычно был встроен в северный мост материнской платы по схеме Memory Controller Hub (MCH). [39] В новых архитектурах Intel ( начиная с серии Intel 5 ) ME включен в концентратор контроллеров платформы (PCH). [40] [41]

Прошивка

[ редактировать ]
  • Management Engine (ME) — основные чипсеты
  • Службы серверной платформы (SPS) — сервер
  • Trusted Execution Engine (TXE) — планшет/мобильный телефон/с низким энергопотреблением

Безопасность

[ редактировать ]

Поскольку AMT обеспечивает доступ к ПК ниже уровня ОС, безопасность функций AMT является ключевой проблемой.

Безопасность связи между Intel AMT и службой обеспечения и/или консолью управления может быть установлена ​​разными способами в зависимости от сетевой среды. Безопасность может быть установлена ​​с помощью сертификатов и ключей (инфраструктура открытых ключей TLS или TLS-PKI), предварительных общих ключей ( TLS-PSK ) или пароля администратора. [1] [6]

Технологии безопасности, защищающие доступ к функциям AMT, встроены в аппаратное обеспечение и встроенное ПО. Как и в случае с другими аппаратными функциями AMT, технологии безопасности активны, даже если компьютер выключен, произошел сбой ОС, отсутствуют программные агенты или отказало оборудование (например, жесткий диск или память). [1] [6] [42]

Поскольку программное обеспечение, реализующее AMT, существует вне операционной системы, оно не обновляется с помощью обычного механизма обновления операционной системы. Поэтому дефекты безопасности в программном обеспечении AMT могут быть особенно серьезными, поскольку они будут сохраняться еще долгое время после того, как они будут обнаружены и станут известны потенциальным злоумышленникам.

15 мая 2017 года Intel объявила о критической уязвимости в AMT. Согласно обновлению, «эта уязвимость может позволить сетевому злоумышленнику удаленно получить доступ к корпоративным ПК или устройствам, использующим эти технологии». [43] Intel объявила о частичной доступности обновления прошивки для исправления уязвимости для некоторых затронутых устройств.

сеть

[ редактировать ]

Хотя некоторые протоколы внутриполосного удаленного управления используют защищенный сетевой канал связи (например, Secure Shell ), некоторые другие протоколы не защищены. Таким образом, некоторым предприятиям пришлось выбирать между наличием защищенной сети или разрешением ИТ-специалистам использовать приложения удаленного управления без защищенной связи для обслуживания и обслуживания ПК. [1]

Современные технологии безопасности и конструкции оборудования позволяют осуществлять удаленное управление даже в более безопасных средах. Например, Intel AMT поддерживает IEEE 802.1x , среду выполнения предварительной загрузки (PXE), Cisco SDN и Microsoft NAP . [1]

Все функции AMT доступны в безопасной сетевой среде. Благодаря Intel AMT в безопасной сетевой среде:

  • Сеть может проверять состояние безопасности ПК с поддержкой AMT и аутентифицировать ПК до загрузки ОС и до того, как ПК получит доступ к сети.
  • Загрузку PXE можно использовать при сохранении сетевой безопасности. Другими словами, ИТ-администратор может использовать существующую инфраструктуру PXE в сети IEEE 802.1x , Cisco SDN или Microsoft NAP .

Intel AMT может встраивать учетные данные сетевой безопасности в оборудование с помощью встроенного агента доверия Intel AMT и подключаемого модуля состояния AMT . [1] [6] Плагин собирает информацию о состоянии безопасности, такую ​​как конфигурация встроенного ПО и параметры безопасности, от стороннего программного обеспечения (например, антивирусного и антишпионского ПО ), BIOS и защищенной памяти . Подключаемый модуль и агент доверия могут хранить профили безопасности в защищенной энергонезависимой памяти AMT, которая не находится на жестком диске .

Поскольку AMT имеет внеполосный канал связи, AMT может сообщать сети о состоянии безопасности ПК, даже если операционная система или программное обеспечение безопасности ПК скомпрометированы. Поскольку AMT представляет собой внеполосное состояние, сеть также может аутентифицировать ПК внеполосно, до загрузки ОС или приложений и до того, как они попытаются получить доступ к сети. Если состояние безопасности неверное, системный администратор может отправить обновление OOB (через Intel AMT) или переустановить критически важное программное обеспечение безопасности, прежде чем разрешить ПК доступ к сети.

Поддержка различных мер безопасности зависит от версии AMT :

Технология

[ редактировать ]

AMT включает в себя несколько схем безопасности, технологий и методологий для защиты доступа к функциям AMT во время развертывания и во время удаленного управления. [1] [6] [42] Технологии и методологии безопасности AMT включают в себя:

Как и в случае с другими аспектами Intel AMT, технологии и методологии безопасности встроены в набор микросхем.

Известные уязвимости и эксплойты

[ редактировать ]
См. также: Intel Management Engine § Уязвимости безопасности.

Руткит Кольцо −3

[ редактировать ]

Руткит Ring −3 был продемонстрирован лабораторией Invisible Things Lab для чипсета Q35; он не работает для более позднего набора микросхем Q45, поскольку Intel внедрила дополнительную защиту. [46] Эксплойт работал путем переназначения обычно защищенной области памяти (верхние 16 МБ ОЗУ), зарезервированной для ME. Руткит ME можно установить независимо от того, присутствует ли в системе или включен ли AMT, поскольку набор микросхем всегда содержит сопроцессор ARC ME. (Обозначение «-3» было выбрано потому, что сопроцессор ME работает, даже когда система находится в состоянии S3 , поэтому он считался уровнем ниже руткитов режима управления системой . [39] ) Для уязвимого чипсета Q35 регистрирующий нажатия клавиш . Патрик Стьюин продемонстрировал руткит на базе ME, [47] [48]

Автоматическая инициализация

[ редактировать ]

Другая оценка безопасности, проведенная Василиосом Верверисом, выявила серьезные недостатки в реализации чипсета GM45. В частности, он раскритиковал AMT за передачу незашифрованных паролей в режиме обеспечения SMB, когда используются функции перенаправления IDE и Serial over LAN. Также было обнаружено, что режим обеспечения «нулевого касания» (ZTC) по-прежнему включен, даже если AMT отключен в BIOS. Примерно за 60 евро Верверис приобрел у Go Daddy сертификат, который принимается прошивкой ME и позволяет удаленно «нулевой» инициализировать (возможно, ничего не подозревающие) машины, которые транслируют свои пакеты HELLO на потенциальные серверы конфигурации. [49]

Молчаливый Боб молчит

[ редактировать ]

В мае 2017 года Intel подтвердила, что на многих компьютерах с AMT имеется неисправленная критическая уязвимость повышения привилегий ( CVE 2017-5689 ). [13] [50] [11] [51] [52] Уязвимость, которую прозвали « Молчаливый Боб молчит». исследователи, сообщившие о ней в Intel, [53] затрагивает многочисленные ноутбуки, настольные компьютеры и серверы, продаваемые Dell , Fujitsu , Hewlett-Packard (позже Hewlett Packard Enterprise и HP Inc. ), Intel, Lenovo и, возможно, другими. [53] [54] [55] [56] [57] [58] [59] Эти исследователи заявили, что ошибка затрагивает системы, выпущенные в 2010 году или позднее. [60] В других отчетах утверждалось, что ошибка также затрагивает системы, созданные еще в 2008 году. [61] [13] Уязвимость была описана как дающая удаленным злоумышленникам:

полный контроль над затронутыми машинами, включая возможность читать и изменять все. Его можно использовать для установки постоянного вредоносного ПО (возможно, в прошивку), а также чтения и изменения любых данных.

Тату Юленен, ssh.com [53]

В процессе авторизации удаленного пользователя произошла ошибка программиста: он сравнивал хеш токена авторизации, предоставленного пользователем ( user_response) к истинному значению хеша ( computed_response), используя этот код: 

strncmp(computed_response, user_response, response_length)

Уязвимость заключалась в том, что response_length была длина токена, предоставленного пользователем, а не настоящего токена.

Поскольку третий аргумент в пользу strncmp — длина двух сравниваемых строк, если она меньше длины computed_response, только часть строки будет проверена на равенство. В частности, если user_response является пустой строкой (длиной 0), это «сравнение» всегда будет возвращать true и, таким образом, проверять пользователя. Это позволило любому человеку просто войти в систему. admin учетную запись на устройствах, отредактировав отправленный ими HTTP-пакет, чтобы использовать пустую строку в качестве response значение поля.

ПЛАТИНА

[ редактировать ]

В июне 2017 года киберпреступная группа PLATINUM стала известна тем, что использовала по последовательной локальной сети (SOL) для кражи данных из украденных документов. возможности AMT [62] [63] [64] [65] [66] [67] [68] [69]

SA-00086

[ редактировать ]

В ноябре 2017 года серьезные недостатки в прошивке Management Engine (ME) были обнаружены охранной фирмой Positive Technologies, которая заявила, что разработала рабочий эксплойт этой системы для кого-то, имеющего физический доступ к USB-порту. [70] 20 ноября 2017 г. Intel подтвердила, что в Management Engine, Trusted Execution Engine, Server Platform Services был обнаружен ряд серьезных недостатков, и выпустила «критическое обновление прошивки». [71] [72]

Предотвращение и смягчение последствий

[ редактировать ]

ПК с AMT обычно предоставляют в меню BIOS опцию для отключения AMT, хотя OEM-производители реализуют функции BIOS по-другому. [73] и поэтому BIOS не является надежным способом отключения AMT. Компьютеры на базе процессоров Intel, поставляемые без AMT, не должны иметь возможность установки AMT позже. Однако, поскольку аппаратное обеспечение ПК потенциально способно использовать AMT, неясно, насколько эффективна эта защита. [74] [75] [76] В настоящее время существуют руководства по смягчению последствий [77] и инструменты [78] для отключения AMT в Windows, но Linux получил только инструмент для проверки того, включен ли и настроен ли AMT в системах Linux. [79] Единственный способ устранить эту уязвимость — установить обновление прошивки. Intel опубликовала список доступных обновлений. [80] В отличие от AMT, официального документированного способа отключения Management Engine (ME) обычно не существует; он всегда включен, если он вообще не включен OEM-производителем. [81] [82]

В 2015 году небольшое количество конкурирующих поставщиков начали предлагать ПК на базе процессоров Intel, разработанные или модифицированные специально для устранения потенциальных уязвимостей AMT и связанных с ними проблем. [83] [84] [85] [86] [10] [87] [88]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Перейти обратно: а б с д и ж г час я дж к л м н тот п д р с т в v В х и С аа аб и объявление но из в ах есть также и аль являюсь а к ап ак с как в В из хорошо топор является тот нет бб до нашей эры др. «Intel Centrino 2 с технологией vPro и процессор Intel Core2 с технологией vPro» (PDF) . Интел. 2008. Архивировано из оригинала (PDF) 6 декабря 2008 года . Проверено 7 августа 2008 г.
  2. ^ «Набор микросхем Intel vPro привлекает MSP и сборщиков систем» . КаналВеб . Проверено 1 августа 2007 г.
  3. ^ «Новый рассвет удаленного управления? Первый взгляд на платформу Intel vPro» . арс техника. 6 февраля 2007 года . Проверено 7 ноября 2007 г.
  4. ^ «Удаленное управление ПК с помощью Intel vPro» . Руководство Тома по аппаратному обеспечению. 26 апреля 2007 года . Проверено 21 ноября 2007 г.
  5. ^ Перейти обратно: а б с д «Возврат к vPro для корпоративных закупок» . Гартнер. Архивировано из оригинала 23 июля 2008 года . Проверено 7 августа 2008 г.
  6. ^ Перейти обратно: а б с д и ж г час я дж к л м н тот п д «Руководство по архитектуре: технология Intel Active Management» . Интел. 26 июня 2008 года. Архивировано из оригинала 19 октября 2008 года . Проверено 12 августа 2008 г.
  7. ^ «Архивная копия» . Архивировано из оригинала 14 апреля 2012 года . Проверено 30 апреля 2012 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
  8. ^ Перейти обратно: а б «Intel Centrino 2 с технологией vPro» (PDF) . Интел. Архивировано из оригинала (PDF) 15 марта 2008 г. Проверено 15 июля 2008 г.
  9. ^ «Интел МСП» . Msp.intel.com . Проверено 25 мая 2016 г.
  10. ^ Перейти обратно: а б «Purism объясняет, почему он избегает использования AMT и сетевых карт Intel в своих ноутбуках Librem, ориентированных на конфиденциальность» . Аппаратное обеспечение Тома . 29 августа 2016 года . Проверено 10 мая 2017 г.
  11. ^ Перейти обратно: а б «Центр безопасности продуктов Intel®» . Security-center.intel.com . Проверено 7 мая 2017 г.
  12. ^ Чарли Демерджян (1 мая 2017 г.). «Удаленный эксплойт безопасности на всех платформах Intel 2008+» . Полуточный . Проверено 7 мая 2017 г.
  13. ^ Перейти обратно: а б с «Красная тревога! Intel исправляет дыру в удаленном выполнении, которая была скрыта в чипах с 2010 года» . Thereregister.co.uk . Проверено 7 мая 2017 г.
  14. ^ HardOCP: Purism предлагает ноутбуки с отключенным механизмом управления Intel
  15. ^ System76 отключит Intel Management Engine на своих ноутбуках
  16. ^ Гаррисон, Джастин (28 марта 2011 г.). «Как удаленно управлять вашим компьютером (даже если он выходит из строя)» . Howtogeek.com . Проверено 7 мая 2017 г.
  17. ^ «Набор инструментов для разработчиков Open Manageability | Программное обеспечение Intel®» . Software.intel.com . Проверено 7 мая 2017 г.
  18. ^ Перейти обратно: а б с д и ж г «Обзор защиты системы и присутствия агентов с технологией Intel Active Management Technology» (PDF) . Интел. Февраль 2007 года . Проверено 16 августа 2008 г.
  19. ^ Перейти обратно: а б с «Intel Centrino 2 с технологией vPro» . Интел. Архивировано из оригинала 15 марта 2008 года . Проверено 30 июня 2008 г.
  20. ^ Перейти обратно: а б «Новые ноутбуки на базе процессоров Intel расширяют возможности ноутбуков» . Интел. Архивировано из оригинала 17 июля 2008 года . Проверено 15 июля 2008 г.
  21. ^ «Понимание Intel AMT в проводном и беспроводном режиме (видео)» . Интел. Архивировано из оригинала 26 марта 2008 года . Проверено 14 августа 2008 г.
  22. ^ «Технология Intel® vPro™» . Интел .
  23. ^ Перейти обратно: а б «Часть 3. После развертывания Intel vPro в среде Altiris: включение и настройка отложенной подготовки» . Интел (форум) . Проверено 12 сентября 2008 г.
  24. ^ «Архивная копия» (PDF) . Архивировано из оригинала (PDF) 3 января 2014 года . Проверено 20 июля 2013 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
  25. ^ «Состояние управления и безопасности Intel (IMSS), расширенные конфигурации. Часть 9 — Сетевые блоги программного обеспечения Intel» . Архивировано из оригинала 20 февраля 2011 года . Проверено 26 декабря 2010 г.
  26. ^ «Обеспечение Intel vPro» (PDF) . HP (Хьюлетт Паккард) . Проверено 2 июня 2008 г.
  27. ^ «Установка и конфигурация vPro для бизнес-ПК dc7700 с технологией Intel vPro» (PDF) . HP (Хьюлетт Паккард) . Проверено 2 июня 2008 г. [ постоянная мертвая ссылка ]
  28. ^ «Часть 4. После развертывания Intel vPro в среде Altiris Intel: частичное UnProvDefault» . Интел (форум) . Проверено 12 сентября 2008 г.
  29. ^ «Технические аспекты использования Intel AMT в беспроводной среде» . Интел. 27 сентября 2007 года . Проверено 16 августа 2008 г.
  30. ^ «Служба установки и настройки технологии Intel Active Management, версия 5.0» (PDF) . Интел . Проверено 13 октября 2018 г.
  31. ^ «Intel AMT — быстрый вызов о помощи» . Интел. 15 августа 2008 года. Архивировано из оригинала 11 февраля 2009 года . Проверено 17 августа 2008 г. (блог разработчиков Intel)
  32. ^ «Intel x86 считается вредным (Новая статья)» . Архивировано из оригинала 3 января 2016 года . Проверено 16 января 2016 г.
  33. ^ Перейти обратно: а б «Архивная копия» . Архивировано из оригинала 1 ноября 2014 года . Проверено 25 февраля 2014 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
  34. ^ Перейти обратно: а б Игорь Скочинский ( Hex-Rays ) Руткит в вашем ноутбуке , Ruxcon Breakpoint 2012
  35. ^ «Техническое описание Ethernet-контроллера Intel I210» (PDF) . Интел . 2013. стр. 1, 15, 52, 621–776 . Проверено 9 ноября 2013 г.
  36. ^ «Краткое описание продукта Intel Ethernet Controller X540» (PDF) . Интел . 2012 . Проверено 26 февраля 2014 г.
  37. ^ «образцы: mei: используйте /dev/mei0 вместо /dev/mei · torvalds/linux@c4a46ac» . Гитхаб . Проверено 14 июля 2021 г.
  38. ^ «Введение. Документация по ядру Linux» . www.kernel.org . Проверено 14 июля 2021 г.
  39. ^ Перейти обратно: а б Джоанна Рутковска. «В поисках ядра» (PDF) . Invisiblethingslab.com . Проверено 25 мая 2016 г.
  40. ^ «Архивная копия» (PDF) . Архивировано из оригинала (PDF) 11 февраля 2014 года . Проверено 26 февраля 2014 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
  41. ^ «Платформы II» (PDF) . Пользователи.nik.uni-obuda.hu . Проверено 25 мая 2016 г.
  42. ^ Перейти обратно: а б «Новая процессорная технология Intel vPro повышает безопасность бизнес-ПК (выпуск новостей)» . Интел. 27 августа 2007 года. Архивировано из оригинала 12 сентября 2007 года . Проверено 7 августа 2007 г.
  43. ^ «Критическая уязвимость прошивки Intel® AMT» . Интел . Проверено 10 июня 2017 г.
  44. ^ «Intel Software Network, форум инженеров/разработчиков» . Интел. Архивировано из оригинала 13 августа 2011 года . Проверено 9 августа 2008 г.
  45. ^ «Решения Cisco для обеспечения безопасности на базе процессорной технологии Intel Centrino Pro и Intel vPro» (PDF) . Интел. 2007.
  46. ^ «Лаборатория Invisible Things Lab представит две новые технические презентации, раскрывающие уязвимости системного уровня, затрагивающие современное аппаратное обеспечение ПК» (PDF) . Invisiblethingslab.com . Архивировано из оригинала (PDF) 12 апреля 2016 г. Проверено 25 мая 2016 г.
  47. ^ «Берлинский технологический институт: FG Безопасность в телекоммуникациях: Оценка руткитов «Ring-3»» (PDF) . Stewin.org . Архивировано из оригинала (PDF) 4 марта 2016 г. Проверено 25 мая 2016 г.
  48. ^ «Постоянное, скрытное вредоносное ПО для выделенного оборудования с дистанционным управлением» (PDF) . Stewin.org . Архивировано из оригинала (PDF) 3 марта 2016 года . Проверено 25 мая 2016 г.
  49. ^ «Оценка безопасности технологии активного управления Intel» (PDF) . Web.it.kth.se. ​Проверено 25 мая 2016 г.
  50. ^ «CVE-CVE-2017-5689» . Cve.mitre.org . Архивировано из оригинала 5 мая 2017 года . Проверено 7 мая 2017 г.
  51. ^ «Intel Hidden Management Engine — угроза безопасности x86?» . Даркнет. 16 июня 2016 г. Проверено 7 мая 2017 г.
  52. ^ Гаррет, Мэтью (1 мая 2017 г.). «Уязвимость удаленного AMT Intel» . mjg59.dreamwidth.org . Проверено 7 мая 2017 г.
  53. ^ Перейти обратно: а б с «2017-05-05 ПРЕДУПРЕЖДЕНИЕ! Intel AMT ЭКСПЛУАТИРУЕТСЯ! ЭТО ПЛОХО! ОТКЛЮЧИТЕ AMT СЕЙЧАС!» . Ssh.com\Accessdate=2017-05-07 .
  54. ^ Дэн Гудин (6 мая 2017 г.). «Изъян, скрывающийся в чипах Intel, хуже, чем кто-либо мог подумать» . Арс Техника . Проверено 8 мая 2017 г.
  55. ^ «Общее: обновления BIOS из-за уязвимости Intel AMT IME — Общее оборудование — Ноутбук — Сообщество Dell» . ru.community.dell.com . 2 мая 2017 г. Проверено 7 мая 2017 г.
  56. ^ «Информационное примечание: уязвимость встроенного ПО Intel — страницы технической поддержки Fujitsu от Fujitsu в континентальной Европе, на Ближнем Востоке, в Африке и Индии» . Поддержка.ts.fujitsu.com. 1 мая 2017 года . Проверено 8 мая 2017 г.
  57. ^ «HPE | HPE CS700 2.0 для VMware» . H22208.www2.hpe.com . 1 мая 2017 года . Проверено 7 мая 2017 г.
  58. ^ «Рекомендации Intel® по безопасности в отношении эскалации ситуации… |Сообщества Intel» . Сообщества.intel.com . 4 мая 2017 г. Проверено 7 мая 2017 г.
  59. ^ «Технология Intel Active Management, технология Intel для малого бизнеса и удаленное повышение привилегий Intel Standard Manageability» . Поддержка.lenovo.com . Проверено 7 мая 2017 г.
  60. ^ «Разрушители легенд: CVE-2017-5689» . Эмбеди.com . Архивировано из оригинала 6 мая 2017 года . Проверено 7 мая 2017 г.
  61. ^ Чарли Демерджян (1 мая 2017 г.). «Удаленный эксплойт безопасности на всех платформах Intel 2008+» . SemiAccurate.com . Проверено 7 мая 2017 г.
  62. ^ «Коварные хакеры используют инструменты управления Intel для обхода брандмауэра Windows» . 9 июня 2017 г. Проверено 10 июня 2017 г.
  63. ^ Тунг, Лиам. «Брандмауэр Windows удалось обойти шпионам, использующим Intel AMT», — сообщает Microsoft — ZDNet . ЗДНет . Проверено 10 июня 2017 г.
  64. ^ «PLATINUM продолжает развиваться, находить способы сохранять невидимость» . 7 июня 2017 г. Проверено 10 июня 2017 г.
  65. ^ «Вредоносное ПО использует непонятную функцию процессора Intel для кражи данных и обхода брандмауэров» . Проверено 10 июня 2017 г.
  66. ^ «Хакеры злоупотребляют функцией низкоуровневого управления для создания невидимого бэкдора» . АйТньюс . Проверено 10 июня 2017 г.
  67. ^ «Пользователи Vx используют Intel Active Management для распространения вредоносных программ по локальной сети • The Register» . www.theregister.co.uk . Проверено 10 июня 2017 г.
  68. ^ Безопасность, хе-хе. «Удаленное обслуживание Intel AMT, используемое при атаках на ПК» . Безопасность . Проверено 10 июня 2017 г.
  69. ^ «Метод передачи файлов группы действий PLATINUM с использованием Intel AMT SOL» . Канал 9 . Проверено 10 июня 2017 г.
  70. ^ Исследователи обнаружили, что почти КАЖДЫЙ компьютер с процессором Intel Skylake и выше может управляться через USB .
  71. ^ «Критическое обновление прошивки Intel® Management Engine (Intel SA-00086)» . Интел.
  72. ^ Ньюман, Лили Хэй. «Дефекты чипов Intel приводят к уязвимости миллионов устройств» . Проводной .
  73. ^ «Отключение AMT в BIOS» . программное обеспечение.intel.com . 28 декабря 2010 года . Проверено 17 мая 2017 г.
  74. ^ «Защищены ли потребительские ПК от эксплойта Intel ME/AMT? - SemiAccurate» . полуаккуратный.com . 3 мая 2017 г.
  75. ^ «Intel x86 скрывает другой процессор, который может взять на себя управление вашей машиной (вы не можете его проверить)» . Боинг-Боинг . 15 июня 2016 г. Проверено 11 мая 2017 г.
  76. ^ «[coreboot]: ошибка AMT» . Mail.coreboot.org . 11 мая 2017 г. Проверено 13 июня 2017 г.
  77. ^ «Отключение Intel AMT в Windows (и более простое руководство по устранению последствий CVE-2017-5689)» . Маркетинг в социальных сетях | Цифровой маркетинг | Электронная коммерция . 3 мая 2017 г. Проверено 17 мая 2017 г.
  78. ^ «bartblaze/Отключить-Intel-AMT» . Гитхаб . Проверено 17 мая 2017 г.
  79. ^ "mjg59/mei-amt-check" . Гитхаб . Проверено 17 мая 2017 г.
  80. ^ «Критическая уязвимость прошивки Intel® AMT» . Интел . Проверено 17 мая 2017 г.
  81. ^ «Блог Positive Technologies: Отключение Intel ME 11 через недокументированный режим» . Архивировано из оригинала 28 августа 2017 года . Проверено 30 августа 2017 г.
  82. ^ «Intel исправляет основные недостатки в Intel Management Engine» . Экстремальные технологии.
  83. ^ Воган-Николс, Стивен Дж. «Taurinus X200: теперь самый ноутбук с «свободным программным обеспечением» на планете - ZDNet» . ЗДНет .
  84. ^ Кисслинг, Кристиан. «Libreboot: Thinkpad X220 без механизма управления » Журнал Linux» . Журнал Линукс .
  85. ^ онлайн, хайз. «Libiquity Taurinus X200: ноутбук Linux без механизма управления Intel» . Хайз онлайн .
  86. ^ «Уязвимость Intel AMT показывает, что механизм управления Intel может быть опасным» . 2 мая 2017 г.
  87. ^ «Фонду свободного программного обеспечения нравится этот ноутбук, а вам нет» .
  88. ^ «FSF одобряет еще один (устаревший) ноутбук — Phoronix» . phoronix.com .
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Intel_Active_Management_Technology&oldid=1239275040"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 7e4a05f55789c177eece1420f853efa6__1723103340
URL1:https://arc.ask3.ru/arc/aa/7e/a6/7e4a05f55789c177eece1420f853efa6.html
Заголовок, (Title) документа по адресу, URL1:
Intel Active Management Technology - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)