نقص امنیتی جدی در پردازنده‏ های اینتل!

۱۳۹۶/۹/۵ - ۱۰:۲۰

طی چند ماه گذشته، تعدادی از گروه ‏های تحقیقاتی آسیب ‏پذیری‏ هایی را در سیستم مدیریت از راه دور اینتل، که تحت عنوان Management Engine‪(ME)‬ شناخته می ‏شود کشف نمودند، که به مهاجمان اجازه می ‏دهد کنترل کامل سیستم هدف را در دست بگیرند.

در حال حاضر اینتل به اینکه این آسیب‏ پذیری‎های امنیتی به صورت بالقوه می ‏توانند پلتفرم ‏های تحت تأثیر را در معرض خطر قرار دهند اقرار نموده است.

یکی از سازنده‏ های تراشه مشهور، در باب اعتراف روز دوشنبه ‏ی خود که ابزار مدیریت موتور‏ Management Engine ‪(ME)‬، ابزار مدیریت سرور از راه دور Server Platform Services ‪(SPS)‬ و ابزار تأیید هویت سازمانی Trusted Execution Engine ‪(TXE)‬ به شدت آسیب‏ پذیر هستند و میلیون‏ ها دستگاه را در معرض خطر قرار می ‏دهند، یک توصیه‏ ی امنیتی منتشر نمود.

جدی ‏ترین آسیب‏ پذیری‏ (CVE-2017-5705) شامل مشکلات مربوط به سرریز بافر در هسته‏ ی سیستم عامل، برای فیرمویر (firmware) Intel ME است که به مهاجمان اجازه ‏‏می ‏دهد با دسترسی محلی به سیستم آسیب ‏پذیر، به دور از چشم کاربر و سیستم عامل کدی را بارگیری و اجرا نمایند.

این سازنده‏ ی تراشه همچنین مسئله‏‏ ی امنیتی بسیار جدیِ (CVE-2017-5708) را مطرح نموده است که شامل چندین باگ مربوط به افزایش سطح دسترسی در هسته‎‏ی سیستم عامل، برای فیرمویر Intel ME می ‏باشد و به یک فرآیند غیرمجاز اجازه دسترسی به محتوای مجاز را می‏ دهد.

سیستم‏ هایی که از  فیرمویرManageability Engine  اینتل با نسخه‏ ی ۱۱.۰.x.x، ۱۱.۵.x.x، ۱۱.۶.x.x، ۱۱.۷.x.x، ۱۱.۱۰.x.x و ۱۱.۲۰.x.x استفاده می ‏کنند توسط این آسیب‏ پذیری ‏ها تحت تأثیر قرار می‏ گیرند.

ضمناً جهت اطلاع، چیپ‏ ست‏ های مبتنی بر اینتل با ME فعال، جهت مدیریت محلی و مدیریت از راه دور سیستم به مدیران IT اجازه می‏ دهند که کامپیوترهای شخصی، ایستگاه‏های کاری و سرورهای درون سازمان خود را از راه دور مدیریت و تعمیر نمایند.

تا زمانی که سیستم به یک کابل برق یا کابل شبکه متصل باشد، این توابع می‏ توانند از راه دور عمل کنند. حتی زمانی که کامپیوتر خاموش شود مستقل از سیستم عامل به کار خود ادامه می ‏دهند.

از آنجا که ME تقریباً به تمامی داده‏ های روی کامپیوتر از جمله حافظه سیستم و آداپتورهای شبکه دسترسی کامل دارد، به راحتی می‏ توان از نقص‎های ME برای اجرای کدهای مخربی که بتوانند پلتفرم را به طور کامل تسخیر نمایند استفاده نمود.

اینتل می ‏گوید: "بر اساس مواردی که از طریق بازبینی جامع امنیتی شناسایی شده ‏اند‏، یک مهاجم می‏ تواند دسترسی غیرمجاز به پلتفرم، قابلیت Intel ME، اسرار شخص ثالث که از طریق ME محافظت می‏ شدند، Server Platform Service ‪(SPS)‬ یا Trusted Execution Engine ‪(TXE)‬ را به دست آوَرَد."

علاوه بر اجرای کدهای غیرمجاز در کامپیوترها، اینتل برخی از سناریوهای حمله را که یک مهاجم توانسته سیستم‏ ها را ساقط یا موجب اختلال در آن‏ها شود لیست نموده است.

یکی دیگر از آسیب‏ پذیری ‏های جدی مربوط به مشکل سرریز بافر (CVE-2017-5711) در Management Technology ‪(AMT)‬ Active برای فیرمویر Intel ME است که به مهاجمان اجازه می‏ دهد با دسترسی ادمین به سیستم، کدهای مخرب با مجوز AMT را اجرا نمایند.

AMT برای فیرمویر Intel ME با نسخه‏ های ۸.x، ۹.x، ۱۰.x، ۱۱.۰.x.x، ۱۱.۵.x.x، ۱۱.۶.x.x، ۱۱.۷.x.x، ۱۱.۱۰.x.x و ۱۱.۲۰.x.x تحت تأثیر این آسیب‎پذیری می باشد.

محققانی از Positive Technologies در پست وبلاگی که در اواخر ماه آگوست منتشر شد اظهار داشتند: "واقعیت ناامیدکننده این است که در کامپیوترهای مدرن امکان غیرفعال نمودن ME به طور کامل وجود ندارد."

آسیب‏ پذیری‏ های جدی دیگر به TXE نسخه ۳.۰ و SPS نسخه ۴.۰ مربوط می‏ شوند و میلیون‏ ها کاربر با این ویژگی را در معرض خطر قرار می‏ دهند. که این موارد عبارتند از:

نقص ‏های امنیتی جدی در Server Platform Service ‪(SPS)‬

CVE-2017-5706:  این آسیب‏ پذیری مشکلات مربوط به سرریز بافر در هسته ‏ی سیستم عامل برای فیرمویر SPS است که به مهاجمان اجازه می‏‏ دهد با دسترسی محلی به سیستم آسیب‏ پذیر، بر روی آن کدهای مخرب اجرا نمایند.

CVE-2017-5709: این آسیب ‏پذیری شامل چندین باگ مربوط به افزایش سطح دسترسی در هسته‏ ی سیستم عامل در فیرمویر SPS می‏ باشد که به یک فرآیند غیرمجاز اجازه دسترسی به محتوای مجاز را می ‏دهد.

هر دو آسیب ‏پذیری، فیرمویر Server Platform Services اینتل، نسخه ۴.۰.x.x را تحت تأثیر قرار می‏ دهند.

نقص ‏های امنیتی جدی در Trusted Execution Engine ‪(TXE)‬

CVE-2017-5707: این آسیب‏ پذیری شامل نقص‏ های سرریزبافر در هسته‏ ی سیستم عامل در فیرمویر TXE اینتل است که به مهاجمان اجازه می‏ دهد با دسترسی محلی به سیستم، بر روی آن کدهای دلخواه اجرا نمایند.

CVE-2017-5710: این آسیب‏ پذیری شامل چندین باگ مربوط به افزایش سطح دسترسی در هسته‏ ی سیستم عامل در فیرمویر TXE می‏ باشد که به یک فرآیند غیرمجاز اجازه‏ ی دسترسی به محتوای مجاز را می ‏دهد.

هر دوی این آسیب ‏پذیری ‏ها، فیرمویر Trusted Execution Engine اینتل، نسخه ۳.۰.x.x را تحت تأثیر قرار می‏ دهند.

محصولات آلوده شده‏ ی اینتل

لیست چیپ‏ ست‏ هایی که شامل فیرمویر آسیب‏ پذیر هستند در زیر آورده شده است:

  • ۶th, 7th and 8th Generation Intel Core processors
  • Xeon E3-1200 v5 and v6 processors
  • Xeon Scalable processors
  • Xeon W processors
  • Atom C3000 processors
  • Apollo Lake Atom E3900 series
  • Apollo Lake Pentiums
  • Celeron N and J series processors

 

اینتل در دهمین نسل از CPUهای خود وصله‏ هایی را جهت رفع این آسیب‏ پذیری‏ ها که میلیون ‏ها کامپیوتر شخصی، سرور و دستگاه متصل به اینترنت را تحت تأثیر قرار داده است، منتشر نموده و از مشتریان خود می‏ خواهد هر چه سریعتر نسبت به آپدیت فیرمویر خود اقدام نمایند.

سازنده ‏های تراشه همچنین یک ابزار تشخیص منتشر نموده‏ اند که به مدیران سیستم‏ های ویندوزی و لینوکسی کمک می‏ کند تا از هر گونه تهدیدی که سیستم ‏هایشان را در معرض خطر قرار می ‏دهد آگاه گردند.

ضمناً این شرکت از Mark Ermolov و Maxim Goryachy محققین شرکت Positive Technologies بابت کشف CVE-2017-5705 و توجه به آن، تشکر و قدردانی نمود، که موجب گردید تا شرکت سازنده ‏ی تراشه، سورس کد خود را بخاطر این آسیب ‏پذیری‎ها بازبینی نماید.

منبع خبر:

https://thehackernews.com/2017/11/intel-chipset-flaws.html