اینتل آسیب‌پذیری‌هایی که میلیون‌ها رایانه‌ی شخصی و کارگزار را تحت تاثیر قرار می‌دهند را وصله کرد

کمیته رکن چهارم – شرکت اینتل وصله‌هایی منتشر کرده است تا از میلیون‌ها رایانه‌ی شخصی و کارگزار در برابر آسیب‌پذیری‌هایی که در Intel ME ، Intel TXE و SPS وجود دارند و می‌توانند به مهاجمان محلی اجازه دهند کارهایی مثل ارتقاء امتیازات، ایجاد اختلال در سامانه‌ها و استراق‌ سمع در ارتباطات انجام دهند، محافظت کند.

شرکت اینتل در بیانیه‌ای گفت: «این وصله‌ها به منظور رفع چندین آسیب‌پذیری‌هایی که در اوایل سال جاری توسط پژوهش‌گران خارجی شناسایی شده بودند، منتشر شده است. شناسایی این آسیب‌پذیری‌ها باعث شدند که شرکت اینتل Intel ME ، Intel TXE و SPS  را بازبینی کند.»

شرکت اینتل گفت: «میلیون‌ها دستگاه که از پردازنده‌های اینتل از جمله نسل‌های ۶، ۷ و ۸ پردازنده‌های هسته‌ی اینتل و پردازنده‌‌های زئون، Atom، Apollo Lake و Celeron اینتل استفاده می‌کنند، تحت تاثیر این آسیب‌پذیری‌ها قرار گرفته‌اند.»

در مشاوره‌نامه‌ی منتشرشده توسط شرکت اینتل آمده است: «با بهره‌برداری از آسیب‌پذیری‌هایی که در نتیجه‌ی این بازبینی امنیتی جامع شناسایی شده‌اند، یک مهاجم می‌تواند به صورت غیرمجاز به بستر، قابلیت ME اینتل، و رمزهای شخص ثالث محافظت‌شده توسط Intel ME، SPS، Intel TXE دسترسی پیدا کند.»

شرکت اینتل گفت: «به این آسیب‌پذیری‌های هشت شناسه‌ی CVE اختصاص داده‌ شده است. این اشکالات مهاجمان را قادر می‌کنند تا قابلیت‌های ME، SPS و TXE را جعل کنند و به این ترتیب قابلیت‌ امنیتی محلی را که گواهی‌نامه‌ها را اعتبارسنجی می‌کند را تحت تاثیر قرار دهند. مجرمان سایبری با بهره برداری از این آسیب‌پذیری‌ها می‌توانند دور از دید کاربر و سامانه عامل کد دلخواه خود را بارگذاری و اجرا کنند، یا در عملکرد سامانه اختلال ایجاد کرده و یا موجب بی‌ثباتی سامانه شوند.»

James Maude، مهندس ارشد امنیت در Avecto، گفت: «واقعیت این است که این حفره‌های امنیتی بحرانی در سخت‌افزاری شناسایی شده‌اند که تقریبا در تمام سازمان‌های سراسر جهان مورد استفاده قرار می‌گیرند، و این مسأله نشان‌دهنده‌ی این است که تمام کسب‌وکارها باید آن‌ها را مورد توجه قراردهند. آسیب‌پذیری‌هایی مانند این به طور خاصی خطرناک هستند، زیرا آن‌ها می‌توانند به مهاجم اجازه دهند بالاتر از سامانه عامل عمل کنند و تمام اقدامات امنیتی سنتی را دور بزنند.»

بنابه گفته‌ی شرکت اینتل، هریک از ویژگی‌های ME، SPS یا TXE به صورت پیش‌فرض فعال می‌شوند، و پردازنده‌هایی که تحت تاثیر این آسیب‌پذیری‌ها قرار گرفته‌اند باید وصله شوند.

پژوهش‌گران شرکت Positive Technologies برای اولین بار در ماه اکتبر سه آسیب‌پذیری را در پردازنده‌های اینتل شناسایی کردند که با شناسه‌های CVE-۲۰۱۷-۵۷۰۵، CVE-۲۰۱۷-۵۷۰۶، و CVE-۲۰۱۷-۵۷۰۷ ردیابی می‌شوند. پس از این‌که این پژوهش‌گران یافته‌های خود را به شرکت اینتل گزارش کردند، اینتل شروع به بازبینی پردازنده‌های خود کرده و پنج آسیب‌پذیری دیگر را نیز شناسایی کرد.

Maxim Goryachy، یکی از پژوهش‌گران شرکت Positive Technologies که آسیب‌پذیری‌ها را شناسایی کرده‌اند، گفت: «نرم‌افزار Intel ME در قلب بسیاری از دستگاه‌ها در سراسر جهان است، و به همین دلیل ما احساس کردیم که مهم است که وضعیت امنیتی آن را مورد بررسی قرار دهیم. این نرم‌افزار در عمق سامانه عامل قرار دارد و به طیف وسیعی از داده‌ها، از اطلاعات موجود در هارد درایو گرفته تا داده‌های مربوط به میکروفون و یواِس‌بی دسترسی دارد. با توجه به این سطح دسترسی منحصربه‌فرد، یک مهاجم که دارای اهداف مخربی است، می‌تواند در زیر رادار راه‌کارهای حفاظتی مبتنی‌بر نرم‌افزار سنتی مانند ضدبدافزار، از این امتیاز برای حمله به یک سامانه‌ی هدف استفاده کند.»

آسیب‌پذیری‌هایی که توسط شرکت اینتل شناسایی شده‌اند، به شرح زیر هستند: 

CVE-۲۰۱۷-۵۷۰۵: سرریز بافر چندگانه در هسته‌ی چارچوب Intel ME که به یک مهاجم اجازه می‌دهد با دسترسی محلی به سامانه کد دلخواه خود را اجرا کند.

CVE-۲۰۱۷-۵۷۰۸: ارتقاء امتیازات چندگانه در هسته‌ی چارچوب Intel ME که به فرآیندهای غیرمجاز اجازه می‌دهد تا از طریق یک بردار نامشخص به محتوای اختصاصی (که فقط برای مدیران دارای امتیازات ویژه قابل دسترسی هستند)، دسترسی پیدا کنند.

CVE-۲۰۱۷-۵۷۱۱ و  CVE-۲۰۱۷-۵۷۱۲: سرریز‌های بافر چندگانه در فناوری مدیریت پویا (AMT) در چارچوب ME که به یک مهاجم اجازه می‌دهند که با دسترسی محلی به سامانه با امتیاز اجرای AMT، کد دلخواه خود را اجرا کند.

CVE-۲۰۱۷-۵۷۰۶: چندین سرریز بافر در هسته‌ی نسخه‌ی ۴.۰ چارچوب SPS اینتل، که به یک مهاجم اجازه می‌دهد با دسترسی محلی به سامانه کد دلخواه خود را اجرا کند.

CVE-۲۰۱۷-۵۷۰۹: ارتقاء امتیاز چندگانه در هسته‌ی نسخه‌ی ۴.۰ چارچوب SPS اینتل که به یک فرآیند غیرمجاز اجازه می‌دهد تا از طریق یک بردار نامشخص به محتوای اختصاصی دسترسی پیدا کند.

CVE-۲۰۱۷-۵۷۰۷: سرریز‌های بافر چندگانه در نسخه‌ی ۳.۰ چارچوب TXE اینتل که به یک مهاجم اجازه می‌دهد با دسترسی محلی به سامانه کد دلخواه خود را اجرا کند.

CVE-۲۰۱۷-۵۷۱۰: ارتقاء امتیاز چندگانه در هسته‌ی نسخه‌ی ۳.۰ چارچوب TXE اینتل که به یک فرآیند غیرمجاز اجازه می‌دهد تا از طریق یک بردار نامشحص به محتوای اختصاصی دسترسی پیدا کند.

چندین سال است که نگرانی‌هایی درباره‌ی Intel ME وجود دارد. در ماه مِی، شرکت اینتل یک آسیب‌پذیری بحرانی را وصله کرد که از ۹ سال پیش در فناوری مدیریت پویای این شرکت که مبتنی‌بر Intel ME است، وجود داشت. این آسیب‌پذیری می‌تواند به یک مهاجم اجازه دهد تا از راه دور به سرویس‌های AMT مانند صفحه کلید، نمایش‌گر و ماوس (KVM)، قابلیت سخت‌افزاری IDE-R، سازوکار Serial over LAN، و تنظیم و ویرایش BIOS دسترسی داشته باشد.

بدگمانی‌ها نسبت محصولات اینتل از سال ۲۰۱۲ میلادی که برخی‌ از کارشناسان گفتند «یک درب پشتی در AMT وجود دارد که به صورت پیش‌فرض فعال است» شروع شده است. یک آسیب‌پذیری‌ دیگر نیز در ماه ژوئن سال ۲۰۱۶ میلادی توسط یک پژوهش‌گر به نام Damien Zammit شناسایی شد؛ این پژوهش‌گر ادعا می‌کرد که یک حفره‌ی امنیتی قابل بهره‌برداری در ME اینتل وجود دارد که یک درب پشتی مخفی ایجاد می‌کند که به یک شخص ثالث اجازه می‌دهد که از بدافزارهای غیرقابل تشخیص در رایانه‌های شخصی اینتل استفاده کند. شرکت اینتل این ادعاها را رد کرده است.

شرکت اینتل گفت: «ما با تولیدکنندگان تجهیزات روی به‌روزسانی‌های نرم‌افزار و چارچوب همکاری کردیم تا این آسیب‌پذیری‌ها را وصله کنیم، و این به‌روزرسانی‌ها در حال حاضر در دسترس هستند. کسب‌وکارها، مدیران سامانه‌ها، و مالکان سامانه‌ها از رایانه‌ها و دستگاه‌ها که از محصولات آسیب‌پذیر اینتل استفاده می‌کنند، باید بررسی کنند که آیا سازندگان یا فروشندگان تجهیزات آن‌ها به‌روزرسانی‌هایی منتشر کرده‌اند یا خیر، و در اسرع وقت تمام به‌روزرسانی‌های قابل اجرا به کار ببرند.»

پژوهش‌گران شرکت Rapid۷ گفتند: «تا زمانی که وصله‌ی امنیتی مناسبی توسط سازندگان منتشر نشده است، کاربران به منظور کاهش اثر این آسیب‌پذیری‌ها می‌توانند مولفه‌های حیاتی کارگزارها مخصوصا درگاه‌های مدیریت اترنت برای این کارگزارها را جدا کنند و روی فعالیت‌های سامانه و شبکه نظارت‌های بیشتری داشته باشند.»

باب ردیس، دانشمند ارشد داده در شرکت Rapid۷ گفت: «هیچ راه‌حل واقعی وجود ندارد. تنها راه حفاظت از سازمان شما این است که وصله‌ها را اعمال کنید. سامانه‌هایی که هنوز برای آن‌ها وصله‌ای در دسترس قرار نگرفته است، یا باید از رده خارج شوند و یا ارتقاء یابند. شرکت اینتل یک صفحه‌ی پیگری راه‌اندازی کرده است که اطلاعات مربوط به فروشندگان و صله‌های ارائه‌شده را در آن منتشر می‌کند.»

وی افزود: «بسیار مهم است که سازمان‌ها این آسیب‌پذیری‌ها را جدی بگیرند و در کوتاه‌ترین زمان ممکن وصله‌های ارائه‌شده را روی سامانه‌های خود اعمال کنند.»

شرکت Positive Technologies اعلام کرده است که در ماه جاری در یک جلسه با عنوان« Black Hat Europe»  جزئیات بیشری را درباره‌ی اینکه چگونه می‌توان به یک رایانه‌ی خاموش نفوذ کرد، یا یک کد غیرمجاز را در ME اینتل اجرا کرد، منتشر خواهد کرد.

منبع : news.asis.io