Hàng triệu thiết bị có nguy cơ bị tấn công qua lỗ hổng nghiêm trọng trong bộ vi xử lý của Intel

08:50 | 29/11/2017
(theo The Hacker News)

Vài tháng qua, một số nhóm nghiên cứu đã phát hiện các lỗ hổng trong tính năng quản trị từ xa của Intel được gọi là Management Engine (ME), có thể cho phép kẻ tấn công từ xa kiểm soát hoàn toàn máy tính mục tiêu.

Hiện tại, Intel đã thừa nhận các lỗ hổng an ninh này có thể "đặt các nền tảng bị ảnh hưởng trước nguy cơ bị tấn công".

Ngày 20/11/2017, Intel đã phát hành một bản tin an ninh, trong đó có thừa nhận rằng, Management Engine, công cụ quản lý máy chủ từ xa Server Management Services (SPS) và công cụ xác thực phần cứng Trusted Execution Engine (TXE) tồn tại nhiều vấn đề an ninh, đặt hàng triệu thiết bị trước nguy cơ bị tấn công.

Lỗ hổng nghiêm trọng nhất  là CVE-2017-5705, liên quan đến nhiều lỗi tràn bộ đệm trong kernel hệ điều hành cho Intel ME Firmware, có thể cho phép kẻ tấn công truy cập vào hệ thống bị ảnh hưởng để "tải và thực thi mã bên ngoài hệ điều hành mà người dùng không hay biết".

Nhà sản xuất chip cũng mô tả một vấn đề an ninh nghiêm trọng CVE-2017-5708 liên quan đến nhiều lỗi leo thang đặc quyền trong kernel hệ điều hành cho Intel ME Firmware có thể cho phép một quá trình trái phép truy cập vào các nội dung đặc quyền thông qua một cách thức không xác định.

Các hệ thống sử dụng Intel Manageability Engine Firmware phiên bản Firmware 11.0.x.x, 11.5.x.x, 11.6.x.x, 11.7.x.x, 11.10.x.x và 11.20.x.x bị ảnh hưởng bởi các lỗ hổng này.

Các chipset của Intel đi cùng với ME cho phép quản lý hệ thống cục bộ và từ xa, cho phép các quản trị viên CNTT từ xa quản lý và sửa chữa máy tính, máy trạm và máy chủ trong tổ chức của họ.

Miễn là hệ thống được kết nối với điện và mạng, các chức năng từ xa này có thể được thực hiện ngoài băng tần ngay cả khi máy tính đã tắt vì nó hoạt động độc lập với hệ điều hành.

Vì ME có toàn quyền truy cập vào hầu hết các dữ liệu trên máy tính, bao gồm bộ nhớ hệ thống và bộ điều hợp mạng, khai thác các lỗ hổng ME để thực thi mã độc trên nó có thể cho phép phá hoại hoàn toàn nền tảng.

Intel cho biết: Dựa trên các vấn đề được xác định thông qua đánh giá an ninh toàn diện, kẻ tấn công có thể truy cập trái phép vào nền tảng, tính năng Intel ME và bí mật của bên thứ ba được bảo vệ bởi ME, Server Platform Service (SPS) hoặc Trusted Execution Engine (TXE).

Bên cạnh thực thi mã trái phép trên máy tính, Intel cũng liệt kê một số kịch bản tấn công mà một kẻ tấn công thành công có thể làm hỏng hệ thống hoặc khiến chúng hoạt động không ổn định.

Một lỗ hổng nghiêm trọng khác là lỗi tràn bộ đệm (CVE-2017-5711) trong Active Management Technology (AMT) dành cho Intel ME Firmware, cho phép kẻ tấn công có quyền truy cập Admin từ xa vào hệ thống để thực thi mã độc với đặc quyền thực thi AMT.

AMT cho Intel ME Firmware phiên bản 8.x, 9.x, 10.x, 11.0.x.x, 11.5.x.x, 11.6.x.x, 11.7.x.x, 11.10.x.x và 11.20.x.x bị ảnh hưởng bởi lỗ hổng này.

Điều đáng nói là tính năng ME không thể vô hiệu hóa để chống lại khả năng bị khai thác qua những lỗ hổng này.

Các lỗ hổng nghiêm trọng khác ảnh hưởng đến TXE phiên bản 3.0 và SPS 4.0, khiến hàng triệu máy tính sử dụng tính năng này có nguy cơ bị tấn công. Các lỗ hổng này được mô tả như sau:

- Các lỗ hổng nghiêm trọng trong Server Platform Service (SPS)

+ CVE-2017-5706: Lỗ hổng liên quan đến nhiều lỗi tràn bộ đệm trong kernel hệ điều hành cho Intel SPS Firmware, có thể cho phép kẻ tấn công truy cập cục bộ vào hệ thống để thực thi mã độc.

+ CVE-2017-5709: Lỗ hổng liên quan đến nhiều lỗi nâng cấp đặc quyền trong kernel hệ điều hành trong Intel SPS Firmware, có thể cho phép một quá trình trái phép truy cập vào các nội dung đặc quyền thông qua một cách thức không xác định.

Cả hai lỗ hổng đều ảnh hưởng đến Intel Server Platform Services Firmware 4.0.x.x.

- Các lỗ hổng nghiêm trọng cao trong Intel Trusted Execution Engine (TXE)

+ CVE-2017-5707: Vấn đề này liên quan đến nhiều lỗi tràn bộ đệm trong kernel hệ điều hành trong Intel TXE Firmware, cho phép kẻ tấn công truy cập vào hệ thống để thực thi mã tùy ý trên bộ nhớ.

+ CVE-2017-5710: Lỗ hổng này liên quan đến nhiều lỗi nâng cấp đặc quyền trong kernel hệ điều hành trong Intel TXE Firmware, cho phép quá trình trái phép truy cập vào các nội dung ưu tiên qua một cách thức không xác định.

Cả hai lỗ hổng này đều ảnh hưởng đến Intel Trusted Execution Engine Firmware 3.0.x.x.

Sản phẩm Intel bị ảnh hưởng

Dưới đây là danh sách các chipset bộ vi xử lý bao gồm firmware bị ảnh hưởng:

· Bộ vi xử lý Intel Core 6, 7 và 8

· Bộ vi xử lý Xeon E3-1200 v5 và v6

· Bộ vi xử lý Xeon Scalable

· Bộ vi xử lý Xeon W

· Bộ xử lý Atom C3000

· Apollo Lake Atom E3900 series

· Apollo Lake Pentiums

· Bộ xử lý Celeron N và J series

Intel đã phát hành các bản vá cho một loạt các thế hệ CPU để giải quyết những lỗ hổng ảnh hưởng đến hàng triệu máy tính cá nhân, máy chủ và các thiết bị IoT và khuyến khích khách hàng bị ảnh hưởng cập nhật firmware sớm nhất có thể.

Nhà sản xuất chip cũng đã phát hành một công cụ phát hiện để giúp các quản trị viên Windows và Linux kiểm tra xem hệ thống của họ có nguy cơ nào.