Kolejna dziura w układach Intela? Producenci po cichu aktualizują UEFI
Firmy HP, Lenovo i (częściowo) Fujitsu wydały aktualizacje pakietów BIOS i firmware'u swoich laptopów. W dziennikach zmian każdej z nich znajdują się odnośniki do biuletynów bezpieczeństwa, opisujących naprawiane dziury. Sęk w tym, że owe odnośniki prowadzą do strony-zaślepki ("Rezerwacja"), a noty wydawnicze milczą na temat szczegółów. Oznacza to, że naprawiane problemy są utajnione. Dzieje się tak wyłącznie wtedy, gdy są bardzo poważne. Czyżby naszym laptopom zagrażała nowa metoda ataku?
25.05.2020 20:45
W przypadku niektórych urządzeń (jak HP EliteOne 1000), poprawki są agregowane w duże, comiesięczne zbiory, ale sporo laptopów otrzymało aktualizacje naprawiające wyłącznie dwie dziury. To mało jak na aktualizację BIOS-u. Co takiego kryją w sobie podatności CVE-2020-0528 i CVE-2020-0529, których aktualizacja jest tak pilna? Nie wiadomo. Ale są pewne poszlaki.
BIOS? Mikrokod? AMT?
Wiele wskazuje na firmę Intel. Chociaż Lenovo, HP i Fujitsu korzystają wraz z wieloma innymi producentami z BIOS-ów chińskiej firmy Insyde, wpisy w bazie National Vulnerability Database sugerują innego winnego. Numery podatności od 500 w górę zostały zarejestrowane "na zapas" w październiku 2019 i od tego czasu kolejne pozycje sa wypełniane właśnie przez produkty Intela.
Numer 520 dotyczy luki w sterowniku graficznym. Numer 540 to z kolei dziura w oprogramiowaniu komputera NUC. Intelowskie błędy ciągną się aż do numeru 584 i możliwe, że dalej.
Ale między artykułami o kolejnych dziurach w oprogramowaniu Intela znajdują się luki: kilka numerów jest nieobsadzonych. Jakie jest prawdopodobieństwo, że w bloku kilkudziesięciu publikacji o tym samym producencie znajdują się pojedyncze wyjątki? Nieduże, acz nalezy pamiętać, że notatki CVE są uzupełniane w kolejności ukończenia badań, a nie według nazw produktów. Niemniej, często jedno badanie owocuje np. trzema artykułami, publikowanymi jeden za drugim.
Wiadomości z trzeciej ręki
Na przykład, notatka SWP1233694 firmy Fujitsu wprost mówi o "tajnych" numerach od 531 do 541 i okazuje się, że dotyczą one MEFW i MEBx. Jest to niesławny Intel Management Engine, składnik Active Management Technology. A więc słynny, niemożliwy do wyłączenia, "sprzętowy backdoor poniżej systemu", którego sforsowanie w praktyce neguje cały model zabezpieczeń urządzenia.
Na czym polegały słabości w Intel ME? Nie wiadomo: Intel nie dostarcza not wydawniczych na ich temat. Wiemy, że podatność 530 w NUC została wyceniona na 7.8 (podniesienie uprawnień wymagające lokalnego dostępu). Że poprawki dla dziur w MEFW i MEBx wydano wcześniej, wraz z poprzednim oprogramowaniem Intel AMT.
Jeżeli nie chodzi o AMT, ale dalej o Intela, a remedium ma stanowić nowy BIOS, to takie połączenie wskazuje na nową podatność o skali znanej z Meltdown i Spectre: możliwość podsłuchu krytycznych danych wskutek manipulacji pamięcią podręczną. A więc lukę "bezpośrednio w procesorze". Wykorzystanie owej podatności dawało potencjalnie bardzo wiele, ale w większości scenariuszy było trudne i wykrywalne. Zabezpieczyły też przed nim nowe wersje systemów operacyjnych.
Jak się ochronić
Zatem – co robić? Jak się zabezpieczyć? Gdy nie chodzi o AMT, a o sam procesor, zagrożone są wszystkie laptopy, a nie tylko te biznesowe. Aktualizację otrzymają z kolei tylko nowsze urządzenia. Większość z nich ponadto nie pobierze aktualizacji automatycznie, a jak uczy doświadczenie, krytyczne aktualizacje BIOS-u potrafią zniszczyć system, a nowoczesne instalatory UEFI – uniemożliwić reinstalację (o czym doniósł nasz czytelnik).
Ratunek jest więc w systemach operacyjnych: mechanizm aktualizacji automatycznych jest bardzo ważny, ponieważ chroni właśnie przed takimi "fantastycznymi" dziurami. Microsoft nie wydał aktualizacji poza swoim kalendarzem wydawniczym, więc jeżeli istnieje mitygacja (minimalizacja ryzyka) po stronie systemu, wszyscy posiadacze zaktualizowanego Windows 10 powinni już ją mieć. Czy wkrótce dowiemy się czegoś więcej? Mijają kolejne miesiące od rezerwacji notatki CVE-2020-0528, być może Intel wkrótce zabierze w tej sprawie głos. A może to wcale nie Intel...?