В конце ноября 2017 года компания Intel сообщила об обнаружении разу нескольких серьезных уязвимостей в продуктах Intel Management Engine (ME), Intel Server Platform Services (SPS) и Intel Trusted Execution Engine (TXE). Данные баги позволяют злоумышленникам загрузить и выполнить произвольный код, спровоцировать отказ в работе устройства, а также извлекать информацию, обрабатываемую процессором.
Проблема осложняется тем, что Intel ME представляет собой интегрированный в микросхему Platform Controller Hub (PCH) микроконтроллер с набором встроенных периферийных устройств. Именно через PCH проходит почти все общение процессора с внешними устройствами, то есть Intel ME имеет доступ к содержимому памяти, практически ко всем данным на компьютере и может исполнять сторонний код, что в теории позволяет полностью скомпрометировать платформу посредством ME.
Более того, Intel ME работает отдельно от всего остального, даже когда компьютер выключен, то есть компрометацию через Intel ME вряд ли обнаружат стандартные защитные решения. Они попросту ее «не увидят».
Ранее мы уже писали о том, что практически все крупные производители опубликовали информацию об уязвимых устройствах, а некоторые даже назвали приблизительные даты выхода патчей. Теперь решения относительно использования проблемного Intel ME приняли компании Purism, Dell и System76.
Представители Purism, компании, которая выпускает устройства «уважающие свободу своих владельцев», сообщили, что решили отказаться от использования Intel ME. Интересно, что компания пошла на данный шаг еще в октябре 2017 года, за месяц до публикации подробностей об уязвимостях. Судя по всему, отказаться от Intel ME разработчики решили после августовской новости о том, что специалисты Positive Technologies нашли способ частичного отключения функциональности Intel ME. В официальном блоге представители Purism пишут, что отключение Management Engine оказалось нетривиальной задачей, однако устройства Librem 13 и Librem 15 теперь будут поставляться с деактивированным Intel ME по умолчанию.
Компания System76, продающая кастомные компьютеры на базе Linux, также сообщила, что распространит среди своих пользователей обновление, которое отключит Intel ME для устройств на базе 6, 7 и 8 поколений процессоров Intel. Пользователи ноутбуков компании смогут получить обновление автоматически, а владельцам десктопов патч представят отдельно, вместе с подробной инструкцией по его применению.
Также в конце прошлой недели пользователи Reddit обнаружили, что компания Dell внесла небольшие изменения в свой интернет-магазин. Теперь покупатели имеют возможность отказаться от использования Intel Management Engine и приобрести устройство без него.
Когда именно в официальном магазине появилась данная опция, не совсем ясно, но это определенно хорошее начинание. Дело в том, что функциональность Intel ME важна и нужна в первую очередь в корпоративных средах, тогда как для пользователей обычных персональных компьютеров в ней нет никакой острой необходимости.