Intel Management Engine, verklaarde de kleine computer in uw CPU
De Intel Management Engine is sinds 2008 opgenomen op Intel-chipsets. Het is eigenlijk een kleine computer-in-een-computer, met volledige toegang tot het geheugen, de weergave, het netwerk en de invoerapparaten van uw pc. Het draait code geschreven door Intel, en Intel heeft niet veel informatie gedeeld over zijn interne werking.
Deze software, ook wel Intel ME genoemd, is in het nieuws verschenen vanwege beveiligingslekken die Intel op 20 november 2017 aankondigde. Je moet je systeem patchen als het kwetsbaar is. De diepe systeemtoegang en aanwezigheid van deze software op elk modern systeem met een Intel-processor betekent dat het een sappig doelwit is voor aanvallers.
Wat is Intel ME?
Dus wat is de Intel Management Engine eigenlijk? Intel biedt algemene informatie, maar ze vermijden de meeste specifieke taken die de Intel Management Engine uitvoert uit te leggen en precies hoe het werkt.
Zoals Intel het stelt, is de Management Engine "een klein sub-systeem met weinig vermogen". Het "voert verschillende taken uit terwijl het systeem in slaap is, tijdens het opstartproces en wanneer uw systeem draait".
Met andere woorden, dit is een parallel besturingssysteem dat draait op een geïsoleerde chip, maar met toegang tot de hardware van uw pc. Het wordt uitgevoerd wanneer uw computer in slaap is, terwijl het opstart en terwijl uw besturingssysteem actief is. Het heeft volledige toegang tot uw systeemhardware, inclusief uw systeemgeheugen, de inhoud van uw display, toetsenbordinvoer en zelfs het netwerk.
We weten nu dat de Intel Management Engine een MINIX-besturingssysteem uitvoert. Daarnaast is de precieze software die in de Intel Management Engine wordt uitgevoerd onbekend. Het is een kleine zwarte doos, en alleen Intel weet precies wat erin zit.
Wat is Intel Active Management Technology (AMT)?
Naast verschillende functies op laag niveau, bevat de Intel Management Engine Intel Active Management Technology. AMT is een oplossing voor beheer op afstand voor servers, desktops, laptops en tablets met Intel-processors. Het is bedoeld voor grote organisaties, niet voor thuisgebruikers. Het is standaard niet ingeschakeld, dus het is niet echt een "achterdeur", zoals sommige mensen het noemen.
AMT kan worden gebruikt om computers met Intel-processors op afstand aan te zetten, te configureren, te besturen of te wissen. In tegenstelling tot normale beheeroplossingen werkt dit zelfs als de computer geen besturingssysteem uitvoert. Intel AMT wordt uitgevoerd als onderdeel van de Intel Management Engine, dus organisaties kunnen systemen op afstand beheren zonder een werkend Windows-besturingssysteem.
In mei 2017 kondigde Intel een remote exploit in AMT aan waarmee aanvallers op een computer toegang hadden tot AMT zonder het benodigde wachtwoord te verstrekken. Dit zou echter alleen gevolgen hebben voor mensen die hun uiterste best deden om Intel AMT in te schakelen - wat wederom niet de meeste thuisgebruikers is. Alleen organisaties die AMT gebruikten, moesten zich zorgen maken over dit probleem en de firmware van hun computers bijwerken.
Deze functie is alleen voor pc's. Terwijl moderne Macs met Intel-CPU's ook de Intel ME hebben, bevatten ze geen Intel AMT.
Kun je het uitschakelen?
Je kunt Intel ME niet uitschakelen. Zelfs als u Intel AMT-functies in de BIOS van uw systeem uitschakelt, is de Intel ME-coprocessor en -software nog steeds actief en actief. Op dit punt is het opgenomen op alle systemen met Intel-CPU's en Intel biedt geen manier om het uit te schakelen.
Hoewel Intel geen manier biedt om de Intel ME uit te schakelen, hebben andere mensen geëxperimenteerd met het uitschakelen ervan. Het is echter niet zo eenvoudig om met een schakelaar te vegen. Ondernemende hackers zijn erin geslaagd Intel ME met een behoorlijke inspanning uit te schakelen, en Purism biedt nu laptops (op basis van oudere Intel-hardware) met de Intel Management Engine standaard uitgeschakeld. Intel is waarschijnlijk niet blij met deze inspanningen en zal het nog moeilijker maken om de Intel ME in de toekomst uit te schakelen.
Maar voor de gemiddelde gebruiker is het uitschakelen van de Intel ME praktisch onmogelijk - en dat is door het ontwerp.
Waarom de geheimhouding?
Intel wil niet dat zijn concurrenten weten wat de werking van de Management Engine-software is. Intel lijkt hier ook "beveiliging door onbekendheid" te omarmen, en probeert het voor aanvallers moeilijker te maken om meer te weten te komen over en gaten te vinden in de Intel ME-software. Echter, zoals de recente gaten in de beveiliging hebben aangetoond, is beveiliging door obscuriteit geen gegarandeerde oplossing.
Dit zijn geen spionage- of bewakingssoftware, tenzij een organisatie AMT heeft ingeschakeld en deze gebruikt om hun eigen pc's te bewaken. Als de management-engine van Intel in andere situaties contact met het netwerk zou maken, hadden we waarschijnlijk wel van het netwerk gehoord dankzij tools zoals Wireshark, waarmee mensen het verkeer op een netwerk kunnen monitoren.
De aanwezigheid van software zoals Intel ME die niet kan worden uitgeschakeld en een gesloten bron is, is echter zeker een beveiligingsprobleem. Het is een andere manier om aan te vallen en we hebben al beveiligingslekken gezien in Intel ME.
Is Intel ME van uw computer kwetsbaar?
Op 20 november 2017 kondigde Intel ernstige beveiligingslekken aan in Intel ME die waren ontdekt door externe beveiligingsonderzoekers. Deze omvatten beide fouten waardoor een aanvaller met lokale toegang code kan uitvoeren met volledige systeemtoegang en aanvallen op afstand waardoor aanvallers met externe toegang code kunnen uitvoeren met volledige systeemtoegang. Het is onduidelijk hoe hard ze zouden zijn om te exploiteren.
Intel biedt een detectietool die u kunt downloaden en uitvoeren om erachter te komen of de Intel ME van uw computer kwetsbaar is of dat deze vast is.
Om de tool te gebruiken, downloadt u het ZIP-bestand voor Windows, opent u het en dubbelklikt u op de map "DiscoveryTool.GUI". Dubbelklik op het bestand "Intel-SA-00086-GUI.exe" om het uit te voeren. Ga akkoord met de UAC-prompt en u krijgt de melding of uw pc kwetsbaar is of niet.
Als uw pc kwetsbaar is, kunt u de Intel ME alleen bijwerken door de UEFI-firmware van uw computer bij te werken. De fabrikant van de computer moet u deze update geven, dus raadpleeg het gedeelte Ondersteuning op de website van uw fabrikant om na te gaan of er UEFI- of BIOS-updates beschikbaar zijn.
Intel biedt ook een ondersteuningspagina met koppelingen naar informatie over updates van verschillende pc-fabrikanten, en ze houden deze up-to-date wanneer fabrikanten ondersteuningsinformatie vrijgeven.
AMD-systemen hebben iets vergelijkbaars met de naam AMD TrustZone, dat op een speciale ARM-processor werkt.
Image Credit: Laura Houser.