Geçtiğimiz aylarda bir araştırma grubu; Intel’in Management Engine adlıyla bilinen uygulamasında, saldırganların hedeflenen bir bilgisayarı uzaktan tam yetki ile kontrol etmesine olanak sağlayan bazı güvenlik açıklarını ortaya çıkardı.

Ünlü chip üreticisi 20 Kasım 2017 Pazartesi günü, yayınladığı bir bildiride Management Engine (ME), remote server management tool Server Platform Services (SPS) ve hardware authentication tool Trusted Execution Engine (TXE) ‘de milyonlarca cihazı risk altına alan, çok sayıda ciddi güvenlik açıkları olduğunu doğrulayarak, risk altında bulunan cihazlarını ve bu cihazlara ait firmware güncellemelerini yayınladı.

Yayınlanan bu bildiride, kuşkusuz en ciddi güvenlik açığının; (CVE-2017-5705) Intel ME firmware için, işletim sistemi çekirdeğinde güvenlik açığından etkilenen sisteme saldırganların yerel erişime sahip olmasına izin verebilecek birden fazla arabellek taşması(multiple buffer overflow) sorununu içeren, ‘kullanıcı ve işletim sisteminden kendini gizleyerek uzaktan kod yükleme ve çalıştırma yapabilen açık’ olduğu görüldü.

Ünlü firma ayrıca, Intel ME Firmware için kernel’da yetkisiz olarak bir işlemin, belirtilmemiş bir vektör aracılığıyla,  yetki gerektiren içeriklere erişebilmesini sağlayan, birden çok erişim yükseltme hatası içeren, yüksek dereceli güvenlik sorunu (CVE-2017-5708) olduğunu da duyurdu.

Peki nedir bu ME?  Intel tabanlı chipsetlere sahip sistemlerde ME aktif edildiğinde, IT yöneticilerine yerel ve uzak ağdan, organizasyonlardaki sistemleri yönetmesine; kişisel bilgisayar, iş istasyonları ve sunucuları tamir etmelerine olanak tanınmış oluyor.

Sistemler, bir güç kaynağı ile bir ağ kablosuna bağlı olduğu sürece; kapalı olsalar dahi, bu işlevler işletim sistemlerinden bağımsız olarak uzaktan gerçekleştirilebiliyor.

Management Engine; sistem belleği, network kartları da dahil olmak üzere, hemen hemen tüm verilere tam erişim sahibi olduğundan, kötü amaçla kod çalıştırma vb. saldırılara maruz kalma noktasında neredeyse biçilmiş bir kaftan gibidir.

Intel tarafından yapılan açıklamada:

“Kapsamlı güvenlik incelemesi yoluyla tespit edilen öğeler temel alınarak; bir saldırgan, ME, Sunucu Platform Hizmeti (SPS) veya Güvenilir Yürütme Motoru (TXE) tarafından korunan platforma, Intel ME özelliğine ve üçüncü taraf sırlarına yetkisiz erişim sahibi olabilir” dendiği görüldü.

Ayrıca intel, bilgisayarlarda yetkisiz kod çalıştırmanın yanı sıra, başarılı bir saldırganın sistemlerini çökertebileceği ya da kararsızlaştırabileceği bazı saldırı senaryoları da listeledi.

Bahsi geçen bildiride ayrıca (CVE-2017-5711) (AMT) aktif yönetim teknolojisi uygulamasındaki bir arabellek taşması sorununun, Intel ME Firmware için AMT ayrıcalıkları ile sisteme uzaktan yönetici erişimi sağlanması ve kod çalıştırılmasına olanak sağlayan açığa da yer verildiği görüldü.

Ayrıca bu durumun bence en kötü yanı; ME’nin, sistemi başlatma, güç yönetimi ve ana işlemcinin başlatılmasından sorumlu olması nedeniyle, hiçbir şekilde deaktif edilememesi olduğudur.

8.x, 9.x, 10.x, 11.0.x.x, 11.5.x.x, 11.6.x.x, 11.7.x.x, 11.10.x.x and 11.20.x.x versiyonuna sahip Intel ME firmware’larının bu açıktan etkilendiği duyuruldu.

Sunucu Platform Hizmeti’nde (SPS) Yüksek Önem Derecesine sahip açıkları
CVE-2017-5706
CVE-2017-5709

Intel Güvenilir Yürütme Altyapısı’nda (TXE) Yüksek Önem Derecesine sahip açıkları
CVE-2017-5707
CVE-2017-5710

Etkilenen Intel Ürünleri

Aşağıda, savunmasız sabit yazılımı bulunan işlemci yonga setlerinin listesi verilmiştir:

6th, 7th and 8th Generation Intel Core processors

Xeon E3-1200 v5 and v6 processors

Xeon Scalable processors

Xeon W processors

Atom C3000 processors

Apollo Lake Atom E3900 series

Apollo Lake Pentiums

Celeron N and J series processors

Intel, milyonlarca bilgisayar, iş istasyonu ve sunucularını etkileyen bu güvenlik açıklarını gidermek için  bir düzineden fazla yama yayınladı ve müşterilerini, daha fazla mağdur olmamaları için bir an önce yayınladığı güncellemeleri uygulamaları için çağrıda bulundu.

Şirket ayrıca, bu açıktan etkilenip etkilenmediğinizi kontrol edebilmemiz için bir algılama aracı da yayınladı.

Intel bu açığı keşfettikleri için Positive Technologies Research’ten Mark Ermolov ve Maxim Goryachy’ye teşekkür etti.

Meydana gelen bu hadise karşısında, şirketin donanım ve yazılımlarına ait tüm kaynak kodlarını yeniden gözden geçirmeye başladığı bildirildi.