Intel Management Engine (ME) impone un rischio per la sicurezza (vedi qui per esempio). Come ho capito, ME fa parte di Intel vPro . Avere una CPU Intel senza supporto vPro significa che ME non è completamente funzionale e quindi meno vulnerabile? Ho visto più richieste (non autorevoli, non collegate qui) su Internet che tutte le recenti CPU Intel hanno ME abilitato. Sono confuso che ciò che non ha alcun supporto vPro in realtà significa per quanto riguarda ME e relativi problemi di sicurezza.
Intel vPro non è una cosa singola, ma in realtà è un gruppo di diverse tecnologie Intel che lavorano insieme per fornire un determinato insieme di servizi. Guida di riferimento Intel vPro elenca queste tecnologie (sottolinea il mio):
Intel vPro technology is a collection of platform capabilities that support enhanced manageability, security, virtualization, and power efficiency. The key platform capabilities include the following Intel technologies:
- Intel Turbo Boost Technology for increased performance and power efficiency
- Intel Virtualization Technology (Intel VT) for Dynamic Virtual Client support and other operating system or application streaming techniques using virtualization
- Intel Hyper-Threading Technology (Intel HT) for higher performance
- Intel Active Management Technology (Intel AMT) for greater manageability
- Intel Anti -Theft Technology (Intel AT) for greater security
- Intel Trusted Execution Technology (Intel TXT) for greater security
- Intel Identity Protection Technology (Intel IPT) for enhanced web security
Tra queste varie tecnologie è la tecnologia Intel Active Management, che consente all'amministratore di sistema di gestire in remoto i computer delle aziende indipendentemente dalla loro posizione e dal loro stato: anche i computer spenti o il computer in cui il sistema operativo non riesce ad essere avviato può essere gestito utilizzando questo tecnologia.
Ciò che è successo è che un ricercatore di sicurezza ha rilevato una vulnerabilità che consente a un utente remoto e senza privilegi di assumere il controllo di questa funzione di gestione.
Come indicato nel Avviso sulla sicurezza di Intel ( sottolineare è il mio):
There is an escalation of privilege vulnerability in Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), and Intel® Small Business Technology versions firmware versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5, and 11.6 that can allow an unprivileged attacker to gain control of the manageability features provided by these products. This vulnerability does not exist on Intel-based consumer PCs with consumer firmware, Intel servers utilizing Intel® Server Platform Services (Intel® SPS), or Intel® Xeon® Processor E3 and Intel® Xeon® Processor E5 workstations utilizing Intel® SPS firmware.
AMT fa parte dell'offerta vPro di Intel e non è disponibile su dispositivi non vPro come "PC consumer con firmware consumer" e "server Intel che utilizzano Intel® Server Platform Services (Intel ® SPS) ".
Le CPU Intel senza supporto vPro pertanto non sembrano vulnerabili a questo attacco in quanto mancano il firmware vulnerabile.