Корпорація Intel днями випустила патч для критичної вразливості процесорів серії Core. Вона дозволяла зловмисникам без фізичного доступу до комп’ютера встановлювати шкідливі програми з правами вище, ніж в операційної системи. Головним чином ця вразливість торкається серверних чіпів, але експерти припускають, що від неї могли постраждати і звичайні користувачі ПК.
Що дозволяє вразливість
Вразливість дозволяє встановлювати шкідливе програмне забезпечення в обхід операційної системи завдяки «дірам» у технологіях Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) та Intel Small Business Technology. Такі технології мали в собі процесори від Nehalem до Kaby Lake – це шість років випуску чіпів з уразливою версією мікрокоду під номером 6.0 та вище.
Уразливі технології використовують підсистему Intel Management Engine, яка вбудована в чіпсет і відповідає за моніторинг і обслуговування комп’ютера під час сну, завантаження, а також під час його роботи. Intel Management Engine вперше з’явилася у 2006 році та фактично є міні-комп’ютером усередині процесора. Це незалежний від решти системи блок, який при цьому має доступ до мережевого обладнання, периферійних пристроїв, пам’яті, накопичувачів та інших компонентів. Intel не розкриває деталі, тому фахівці з кібербезпеки не знають, що саме робить Intel Management Engine.
За твердженням Intel, уразливість в Intel Management Engine не торкається персональних комп’ютерів користувачів, оскільки на звичайних ПК рідко не використовують технологію vPro, частиною якої є вразливі компоненти. Однак ІТ-видання SemiAccurate стверджує, що комп’ютери користувачів можуть бути вразливими, хоча тільки локально. Автори статті на SemiAccurate також «серйозно підозрюють, що дана вразливість активно експлуатується».
Чому вразливість серйозна
Хоча Intel уже випустив патч, кінцеві користувачі його встановити не зможуть. Адже патч повинен розміщуватися в мікрокоді, доступу до якого звичайні споживачі не мають. Тому спершу прошивки ноутбуків та материнських плат ПК повинні будуть оновити виробники. Лише після цього користувачі зможуть встановити оновлення з патчем. Навіть якщо це зробити дуже швидко, кажуть експерти, все одно пройде ще чимало часу, перш ніж необхідні оновлення фактично встановлять. А багато комп’ютерів взагалі ніколи не отримають апдейт, бо виробник його не випустить.