新たな欠陥の発見から生じたインテルの Management Engine に対する懸念

2017.12.04

新しい PC で、世界で最も広く使われているオペレーティングシステムとは何でしょうか?


Windows だと思われますか?


おそらく答えは、昔ながらのオペレーティングシステムである Minix(リンク先:英語) ではないでしょうか。Minix は最新のインテルコンピュータに組み込まれている Management Engine (ME) と呼ばれるサブシステムで実行されています。


ME は PC の電源がオフである場合でも、コンセントにプラグが差し込まれていれば、サポートエンジニアが簡単にリモートトラブルシューティングを行うことができます。


ME の優れた機能が広く利用されており、「Intel Inside」という標語が示すように実質的に独立しているシステムを別のシステムの内部で実行していることになるため、そのセキュリティ上の意味について懸念する専門家が増えています。


ロシア人研究者であり、 Positive Technologies の Maxim Goryachy 氏と Mark Ermolov 氏は、来月の Black Hat Europe のイベントで、ME のセキュリティを侵害する可能性のあるエクスプロイトで、PC の「神モード(GodMode)」と呼ばれるコントロールを取得するデモセッション(リンク先:英語)を行うと、 9 月に公表したばかりでした。


今週、インテルはこの問題を確認し、緊急のセキュリティアドバイザリ(リンク先:英語)を公開しました。この研究者は、観客の関心を引くために、プレゼンテーションを行うわけではないようです。


インテルは、4 個の脆弱性 ( CVE-2017-5705、CVE-2017-5708、CVE-2017-5711、CVE-2017-5712 ) を発表しています。これらの問題は、ME ファームウェア v11.x を実行している最新のプロセッサのほか、Server Platform Services v4.0 と TXE v3.0 にも影響を及ぼします。


いくつもの脆弱なプロセッサが発表されており、過去 2 年間に出荷された Core、Xeon、Atom、Celeron、Pentium を搭載するコンピュータやサーバーを実行していると、この影響を受ける恐れがあります。


インテルはこれらのバグをチェックするためのユーティリティ(リンク先:英語)を公開していますが、ME ファームウェアの修正プログラムは、各ハードウェアメーカーから提供される必要があることが問題を複雑にしています。


たとえば、デルのサポートページにアクセスすると、サーバの修正プログラムが一覧表示されますが、サポートしている 100 以上(リンク先:英語)の PC システムで「未定」と表示されます。


いち早く修正を適用したいのでしたら、修正プログラムの公開を待っているわけにはいきません。


パッチが適用されていないシステムに、どのような攻撃が仕掛けられるでしょうか?


インテルは複数の攻撃について示唆していますが、警戒するべきは、「 ユーザとオペレーティングシステムから見えない形で、任意のコードをロードして実行できる 」という点です。


多くの管理者は驚くかもしれませんが、デスクトップやサーバオペレーティングシステムが関与しない PC の内部で、任意のコードが実行される恐れがあるのです。


政府による監視が行われていることを唱える陰謀論者ではなくても、ME がさまざまな規則を捻じ曲げているのではないかという懸念が広がっています。


プライバシー保護団体の EEF は、 ME は、独自のオペレーティングシステム、プロフェッサチップ、ドライバ、ネットワークススタック、 Web サーバを備えた小さなコンピューター(リンク先:英語)のようなものであると述べています。


この 8 月には、 Google のエンジニアである Ronald Minnich 氏は、Minix オペレーティングシステムを実行する ME にはセキュリティリスクがあり、同社の Linux サーバーから ME をできるかぎり排除していく計画である(リンク先:英語)ことを述べています。


興味深いことに、マイクロソフトが最近公開した安全な PC の仕様(リンク先:英語)では、インテルの新世代のプロセッサーを利用することを推奨していますが、ME については言及されていません。


研究者たちは今後血眼になって、 ME などの下位レベルのテクノロジーの問題を探っていくことは間違いないでしょう。


今週から、研究者はさらに多くの問題を見つけようとするでしょう。


引用元

おすすめの記事はこちら