Intel už od roku 2010 a první generace procesorů Core s vPro používá novou technologii pro vzdálenou správu, která zlepšuje zabezpečení a usnadňuje správu hlavně v podnicích, které mají spoustu počítačů. Tato část ale obsahuje kritickou chybu, kterou je možné už celých sedm let zneužít pro zvýšení práv a tedy ovládnutí celého systému. Intel už sice poskytl opravný firmware, ale bohužel je nutné ho manuálně nainstalovat.
Na chyby v softwaru jsme už celkem zvyklí, ale zatímco u běžných programů to až tak nevadí, v případě operačního systému už jde u kritických chyb o vážný problém. Nicméně i přes to se občas takové chyby objeví a naštěstí jsou velmi rychle opraveny a dodány obvykle s automatickou aktualizací. Co je ale ještě horší? Kritická chyba přímo v procesoru.
Zrádná vzdálená správa
Kritická chyba s označením Intel_SA-00075 se týká všech procesorů Intel Core s vPro, které byly vyrobené od roku 2010, tedy od Nehalemu až po nejnovější generaci Kaby Lake. Problém se vyskytuje v technologiích pro vzdálenou správu (Intel Management Engine) – Intel Active Management (AMT), Intel Small Business Technology a Intel Standard Manageability (ISM). Chyba se týká verzí firmwaru 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 a 11.6.
Dobrá zpráva pro uživatelé klasických procesorů je, že se jich tento problém netýká, takže pokud i ve firmě máte klasické procesory bez vPro, jste v klidu.
Problém se týká všech procesorů Core s vPro od roku 2010
Samotná chyba umožňuje, aby útočník využil slabiny a dosáhl vyšších práv (administrátora) – jak v lokálního charakteru na konkrétním počítači nebo notebooku, tak i v rámci sítě, což je nejspíše ještě větší nebezpečí.
Přes 7 tisíc serverů v ohrožení
Dle informací lze k nejjednodušší formě vzdálenému útoku z internetu použít například porty 16992 a 16993 a jak zjistili bezpečnostní experti, v současnosti má tyto porty otevřené na internetu přes 7 tisíc serverů.
Nutno podotknout, že se skutečně jedná jen o nejsnazší cestu a k přístupu s možností ovládnutí přes zvýšená práva se lze dostat i dalšími způsoby, takže se problém týká výrazně většího počtu serverů, které jsou napojené přímo na internet.
Oprava už je k dispozici
Trvalo to sice sedm let, ale oprava je k dispozici včetně podrobného návodu přímo od Intelu. Jedním z prvních výrobců, který zveřejnil upozornění, bylo Lenovo, což vzhledem k podnikovém zaměření dává celkem smysl.
Dle výpisu se tak chyba například dotýká vybraných modelů ze série ThinkCentre, ThinkPad, ThinkServer a ThinkStation, naopak třeba řady IdeaPad se tento problémů netýká vůbec. U většiny postihnutých systémů Lenovo hlásí, že bude standardní softwarová aktualizace dostupná postupně do konce tohoto měsíce Pokud chcete rychlé řešení, stačí vypnout AMT a vypnout či odinstalovat LSM.