نقص امنیتی جدی در پردازنده های اینتل!
طی چند ماه گذشته، تعدادی از گروه های تحقیقاتی آسیب پذیری هایی را در سیستم مدیریت از راه دور اینتل، که تحت عنوان Management Engine(ME) شناخته می شود کشف نمودند، که به مهاجمان اجازه می دهد کنترل کامل سیستم هدف را در دست بگیرند.
در حال حاضر اینتل به اینکه این آسیب پذیریهای امنیتی به صورت بالقوه می توانند پلتفرم های تحت تأثیر را در معرض خطر قرار دهند اقرار نموده است.
یکی از سازنده های تراشه مشهور، در باب اعتراف روز دوشنبه ی خود که ابزار مدیریت موتور Management Engine (ME)، ابزار مدیریت سرور از راه دور Server Platform Services (SPS) و ابزار تأیید هویت سازمانی Trusted Execution Engine (TXE) به شدت آسیب پذیر هستند و میلیون ها دستگاه را در معرض خطر قرار می دهند، یک توصیه ی امنیتی منتشر نمود.
جدی ترین آسیب پذیری (CVE-2017-5705) شامل مشکلات مربوط به سرریز بافر در هسته ی سیستم عامل، برای فیرمویر (firmware) Intel ME است که به مهاجمان اجازه می دهد با دسترسی محلی به سیستم آسیب پذیر، به دور از چشم کاربر و سیستم عامل کدی را بارگیری و اجرا نمایند.
این سازنده ی تراشه همچنین مسئله ی امنیتی بسیار جدیِ (CVE-2017-5708) را مطرح نموده است که شامل چندین باگ مربوط به افزایش سطح دسترسی در هستهی سیستم عامل، برای فیرمویر Intel ME می باشد و به یک فرآیند غیرمجاز اجازه دسترسی به محتوای مجاز را می دهد.
سیستم هایی که از فیرمویرManageability Engine اینتل با نسخه ی ۱۱.۰.x.x، ۱۱.۵.x.x، ۱۱.۶.x.x، ۱۱.۷.x.x، ۱۱.۱۰.x.x و ۱۱.۲۰.x.x استفاده می کنند توسط این آسیب پذیری ها تحت تأثیر قرار می گیرند.
ضمناً جهت اطلاع، چیپ ست های مبتنی بر اینتل با ME فعال، جهت مدیریت محلی و مدیریت از راه دور سیستم به مدیران IT اجازه می دهند که کامپیوترهای شخصی، ایستگاههای کاری و سرورهای درون سازمان خود را از راه دور مدیریت و تعمیر نمایند.
تا زمانی که سیستم به یک کابل برق یا کابل شبکه متصل باشد، این توابع می توانند از راه دور عمل کنند. حتی زمانی که کامپیوتر خاموش شود مستقل از سیستم عامل به کار خود ادامه می دهند.
از آنجا که ME تقریباً به تمامی داده های روی کامپیوتر از جمله حافظه سیستم و آداپتورهای شبکه دسترسی کامل دارد، به راحتی می توان از نقصهای ME برای اجرای کدهای مخربی که بتوانند پلتفرم را به طور کامل تسخیر نمایند استفاده نمود.
اینتل می گوید: "بر اساس مواردی که از طریق بازبینی جامع امنیتی شناسایی شده اند، یک مهاجم می تواند دسترسی غیرمجاز به پلتفرم، قابلیت Intel ME، اسرار شخص ثالث که از طریق ME محافظت می شدند، Server Platform Service (SPS) یا Trusted Execution Engine (TXE) را به دست آوَرَد."
علاوه بر اجرای کدهای غیرمجاز در کامپیوترها، اینتل برخی از سناریوهای حمله را که یک مهاجم توانسته سیستم ها را ساقط یا موجب اختلال در آنها شود لیست نموده است.
یکی دیگر از آسیب پذیری های جدی مربوط به مشکل سرریز بافر (CVE-2017-5711) در Management Technology (AMT) Active برای فیرمویر Intel ME است که به مهاجمان اجازه می دهد با دسترسی ادمین به سیستم، کدهای مخرب با مجوز AMT را اجرا نمایند.
AMT برای فیرمویر Intel ME با نسخه های ۸.x، ۹.x، ۱۰.x، ۱۱.۰.x.x، ۱۱.۵.x.x، ۱۱.۶.x.x، ۱۱.۷.x.x، ۱۱.۱۰.x.x و ۱۱.۲۰.x.x تحت تأثیر این آسیبپذیری می باشد.
محققانی از Positive Technologies در پست وبلاگی که در اواخر ماه آگوست منتشر شد اظهار داشتند: "واقعیت ناامیدکننده این است که در کامپیوترهای مدرن امکان غیرفعال نمودن ME به طور کامل وجود ندارد."
آسیب پذیری های جدی دیگر به TXE نسخه ۳.۰ و SPS نسخه ۴.۰ مربوط می شوند و میلیون ها کاربر با این ویژگی را در معرض خطر قرار می دهند. که این موارد عبارتند از:
نقص های امنیتی جدی در Server Platform Service (SPS)
CVE-2017-5706: این آسیب پذیری مشکلات مربوط به سرریز بافر در هسته ی سیستم عامل برای فیرمویر SPS است که به مهاجمان اجازه می دهد با دسترسی محلی به سیستم آسیب پذیر، بر روی آن کدهای مخرب اجرا نمایند.
CVE-2017-5709: این آسیب پذیری شامل چندین باگ مربوط به افزایش سطح دسترسی در هسته ی سیستم عامل در فیرمویر SPS می باشد که به یک فرآیند غیرمجاز اجازه دسترسی به محتوای مجاز را می دهد.
هر دو آسیب پذیری، فیرمویر Server Platform Services اینتل، نسخه ۴.۰.x.x را تحت تأثیر قرار می دهند.
نقص های امنیتی جدی در Trusted Execution Engine (TXE)
CVE-2017-5707: این آسیب پذیری شامل نقص های سرریزبافر در هسته ی سیستم عامل در فیرمویر TXE اینتل است که به مهاجمان اجازه می دهد با دسترسی محلی به سیستم، بر روی آن کدهای دلخواه اجرا نمایند.
CVE-2017-5710: این آسیب پذیری شامل چندین باگ مربوط به افزایش سطح دسترسی در هسته ی سیستم عامل در فیرمویر TXE می باشد که به یک فرآیند غیرمجاز اجازه ی دسترسی به محتوای مجاز را می دهد.
هر دوی این آسیب پذیری ها، فیرمویر Trusted Execution Engine اینتل، نسخه ۳.۰.x.x را تحت تأثیر قرار می دهند.
محصولات آلوده شده ی اینتل
لیست چیپ ست هایی که شامل فیرمویر آسیب پذیر هستند در زیر آورده شده است:
- ۶th, 7th and 8th Generation Intel Core processors
- Xeon E3-1200 v5 and v6 processors
- Xeon Scalable processors
- Xeon W processors
- Atom C3000 processors
- Apollo Lake Atom E3900 series
- Apollo Lake Pentiums
- Celeron N and J series processors
اینتل در دهمین نسل از CPUهای خود وصله هایی را جهت رفع این آسیب پذیری ها که میلیون ها کامپیوتر شخصی، سرور و دستگاه متصل به اینترنت را تحت تأثیر قرار داده است، منتشر نموده و از مشتریان خود می خواهد هر چه سریعتر نسبت به آپدیت فیرمویر خود اقدام نمایند.
سازنده های تراشه همچنین یک ابزار تشخیص منتشر نموده اند که به مدیران سیستم های ویندوزی و لینوکسی کمک می کند تا از هر گونه تهدیدی که سیستم هایشان را در معرض خطر قرار می دهد آگاه گردند.
ضمناً این شرکت از Mark Ermolov و Maxim Goryachy محققین شرکت Positive Technologies بابت کشف CVE-2017-5705 و توجه به آن، تشکر و قدردانی نمود، که موجب گردید تا شرکت سازنده ی تراشه، سورس کد خود را بخاطر این آسیب پذیریها بازبینی نماید.
منبع خبر: