Intel management engine interface для чего нужен

Intel management engine interface для чего нужен

Как вы возможно уже заметили, после установки операционной системы Windows на современные компьютеры на базе процессоров Intel необходимо кроме установки драйверов к звуковой карте, видеокарте, чипсету, USB-контроллеру и другим устройствам также установить драйвер для Intel Management Engine.

Что же такое этот Intel Management Engine и зачем он нужен? Если не вдаваться глубоко в технические тонкости, то это отдельный процессор (или точнее микропроцессор, микроконтроллер), который встроен в чипсет. В более ранних версиях материнских плат он встраивался в северный мост, а теперь после перехода на «одночипсетную» конфигурацию можно сказать, что он встроен просто в чипсет.

Итак, Intel Management Engine (Intel ME) это подсистема, которая предназначена для решения различных задач связанных с мониторингом и обслуживанием компьютера во время сна и в процессе его работы. Для корректной работы Intel ME, как и любого другого устройства, требуется драйвер (отсутствие такого драйвера приводит к наличию неизвестного устройства с восклицательным знаком в «Диспетчере Устройств»).

Intel ME ME используется при старте и первоначальной настройке материнской платы. Выход из строя Intel Management Engine (при условии, что больше ничего не вышло из строя на плата или в ноутбуке) чаще всего проявляется в том, что вентиляторы работают на максимальных оборотах и не регулируют свою скорость в зависимости от температуры охлаждаемых компонентов (в том числе и этим занимается Intel ME). Конечно, этим все не ограничивается, но внешне неисправность Intel ME проявляется именно так.

Кроме того, на базе Intel Management Engine реализованы также следующие технологии:

Intel AMT (удалённое администрирование или управление компьютером)

Intel AT (противоугонный модуль)

Intel SMB (урезанный вариант Intel AMT для малого бизнеса)

Сам микроконтроллер на котором реализован Intel Management Engine лицензирован у фирмы ARC International 32-битный RISC-процессор (соответственнно не x86-архитектуры) с набором возможностей специально конфигурируемых «под заказчика». Процессоры такого типа конкурируют с ARM-процессорами (которые в свою очередь весьма популярны в связи с использованием их в смартфонах и планшетах).

Этот процессор имеет все плюсы ARM-процессоров (прежде всего крайне малое энергопотребление) и при этом обладает возможностями, достаточными для решения поставленных перед ним задач. Кроме того, этот процессор обладает своей постоянной и оперативной памятью.

На базе такого процессора и работает Management Engine, а для взаимодействия с операционной системой имеется MEI – Management Engine Interface. Для настройки Management Engine в BIOS Setup есть MEBx (ME BIOS Extensions) модуль, который поставляется для OEM-производителей плат или же встроенный в BIOS Setup подраздел. Именно для корректной работы MEI с операционной системой и потребуется драйвер, который мы устанавливаем

(Пока оценок нет)

Intel Management Engine (Intel ME) — автономная подсистема, встроенная почти во все чипсеты процессоров Intel с 2008 года [1] [2] [3] . Она состоит из проприетарной прошивки, исполняемой отдельным микропроцессором. Так как чипсет всегда подключен к источнику тока (батарейке или другому источнику питания), эта подсистема продолжает работать даже когда компьютер отключен [4] . Intel заявляет, что ME необходима для обеспечения максимальной производительности [5] . Точный принцип работы [6] по большей части недокументирован, а исходный код обфусцирован с помощью кода Хаффмана, таблица для которого хранится непосредственно в аппаратуре, поэтому сама прошивка не содержит информации для своего раскодирования. Главный конкурент Intel, компания AMD, также встраивает в свои процессоры аналогичную систему AMD Secure Technology (раньше называвшуюся Platform Security Proccessor), начиная с 2013 года.

Management Engine часто путают с Intel AMT. Технология AMT основана на ME, но доступна только для процессоров с технологией vPro. AMT позволяет владельцу удалённо администрировать компьютер [7] , например включать или выключать его, устанавливать операционную систему. Однако ME устанавливается с 2008 года на все чипсеты Intel, вне зависимости от наличия на них AMT. В то время как технология AMT может быть отключена, нет официального документированного способа отключить ME.

Читайте также:  Войти перейти к сравнению

В ME было найдено несколько уязвимостей. 1 мая 2017 года компания Intel подтвердила наличие уязвимости удалённого повышения привилегий (SA-00075) в Management Technology [8] . Каждая платформа Intel с установленным Intel Standard Manageability, Intel Active Management Technology или Intel Small Business Technology, от Nehalem (2008 год) до Kaby Lake (2017 год) имеет уязвимость в ME, которую можно использовать удалённо [9] [10] . Были найдены несколько путей неавторизованного выключения ME, которые могут сорвать выполнение функций ME [11] [12] [13] . Дополнительные критические уязвимости в ME, затрагивающие большое число компьютеров с прошивками, включающими ME, Trusted Execution Engine (TXE) и Server Platform Services (SPS), от Skylake (2015 год) до Coffee Lake (2017 год), были подтверждены Intel 20 ноября 2017 года (SA-00086) [14] . В отличие от SA-00075, эта уязвимости присутствует даже если AMT отключен, не входит в поставку или ME отключен одним из неофициальных методов. [15]

Содержание

Внутреннее устройство [ править | править код ]

Аппаратная часть [ править | править код ]

Начиная с ME 11, в основе лежит 32-битный x86-совместимый процессор на технологии Intel Quark с запущенной на нём операционной системой MINIX 3 [13] . Состояние ME хранится в разделе шины SPI с использованием файловой системы EFFS (Embedded Flash File System) [16] . Предыдущие версии базировались на RISC-ядре ARC с использованием операционной системы реального времени ThreadX от компании Express Logic. Версии ME от 1.x до 5.x использовали ARCTangent-A4 (только 32-битные инструкции), тогда как в версиях от 6.x до 8.x использовался более новый ARCompact (смешанная 32- и 16-битная архитектура набора команд). Начиная с ME 7.1, процессор ARC мог выполнять подписанные Java-апплеты.

ME имеет свой MAC-адрес и IP-адрес для своего дополнительного интерфейса с прямым доступом к контроллеру Ethernet. Каждый пакет Ethernet-траффика переадресуется в ME даже до достижения операционной системы хоста, причём такое поведение поддерживается многими контроллерами, настраиваемыми по протоколу MCTP [17] [18] . ME также взаимодействует с машиной через интерфейс PCI [16] . В Linux взаимодействие машины и ME происходит через устройство /dev/mei [19] .

Начиная с процессоров на микроархитектуре Nehalem, ME обычно интегрируется в северный мост материнской платы [20] . На новых архитектурах Intel (начиная с Intel 5 Series) ME встроен в Platform Controller Hub [21] [22] .

Прошивка [ править | править код ]

Согласно терминологии Intel на 2017 год, ME — один из наборов микропрограмм системы Converged Security and Manageability Engine (CSME). До AMT версии 11, CSME назывался Intel Management Engine BIOS Extension (Intel MEBx) [3] .

Компания Positive Technologies обнаружила, что прошивка ME версии 11 использует MINIX 3 [13] [23] [24] .

Уязвимости [ править | править код ]

Отключение ME [ править | править код ]

Обычными способами отключить ME невозможно. Тем не менее, было обнаружено несколько недокументированных и потенциально рискованных методов для этого [14] . Эти методы не поддерживаются Intel. Архитектура безопасности ME предполагает предотвращение отключения, поэтому возможность такого отключения считается уязвимостью. Например, вирус, используя возможность несанкционированного отключения, способен лишить компьютер части функций, ожидаемых конечным пользователем, например таких как воспроизведение медиа с техническими средствами защиты авторских прав. Однако критики ME не воспринимают это как уязвимость.

Строго говоря, ни один из методов не способен полностью отключить ME, так как без ME невозможна загрузка процессора. Все известные методы просто заставляют ME перейти вскоре после загрузки в неправильное состояние, в котором невозможно выполнение ни одной функции ME. ME продолжает быть подключенным к источнику питания, и встроенный в ME микропроцессор продолжает исполнять код.

Недокументированные методы [ править | править код ]

Нейтрализация прошивки [ править | править код ]

В 2016 году проект me_cleaner обнаружил, что проверка подлинности ME может быть взломана. ME должен определять нарушение подлинности прошивки и в случае провала проверки принудительно выключать компьютер через 30 минут [25] . Это предотвращает работу скомпрометированной системы и позволяет владельцу исправить проблему путём загрузки подлинной версии прошивки. Как было установлено проектом, можно сделать неавторизованные изменения в прошивке ME таким образом, чтобы заставить ME перейти в ошибочное состояние, не позволяющее запустить принудительное выключение, даже если большая часть прошивки была перезаписана.

Читайте также:  Ноутбук разрядился и не заряжается
Режим «High Assurance Platform» [ править | править код ]

В августе 2017 года компания Positive Technologies опубликовала метод отключения ME через недокументированный встроенный режим. Компания Intel подтвердила [26] , что ME содержит возможность для государственных органов, таких как АНБ, переключения в режим высокодоверенной платформы (High-Assurance Platform, HAP) сразу после загрузки. Этот режим выключает все функции ME. Он авторизован для использования только государственными органами и предполагается только для машин, произведённых для них. Однако оказалось, что в большинстве продаваемых на рынке компьютеров можно включить этот режим [27] [28] . Манипуляции с битом HAP были быстро встроены в проект me_cleaner [29] .

Коммерческое отключение ME [ править | править код ]

В конце 2017 года несколько производителей ноутбуков объявили о своих намерениях поставлять ноутбуки с отключенным Intel ME:

  • Компания Purism, SPC потребовала у Intel продавать процессоры без ME или же опубликовать исходный код ME, называя его «угрозой для цифровых прав пользователей» [30] . В марте 2017 года компания Purism сообщила [31] , что нейтрализовала ME путём удаления большей части исполняемого кода из флеш-памяти. Позже, в октябре 2017 года, компания сообщила [32] , что новые партии основанных на Debian ноутбуков линейки Librem будет выпускаться с нейтрализованным (через стирание большей части кода из флеш-памяти, как и сообщалось ранее), а также дополнительно выключенными через бит HAP модулями ME. Также были выпущены обновления для существующих ноутбуков Librem.
  • System 76 анонсировала в ноябре 2017 года [33] о своих планах отключить ME в новых и текущих основанных на Ubuntu машинах через HAP бит.

Эффективность против уязвимостей [ править | править код ]

Ни один из двух обнаруженных методов отключения ME не способен быть эффективной контрмерой против уязвимости SA-00086 [15] . Причина этого в том, что уязвимость находится в модуле ME, загружаемом на раннем этапе и необходимом для загрузки основного процессора [34] .

Руткит кольца −3 [ править | править код ]

Руткит кольца −3 был представлен исследователями Invisible Things Lab для чипсета Q35; он не работает для более нового чипсета Q45, так как Intel реализовал дополнительные меры защиты [35] . Эксплоит действовал посредством переотображения защищённого в нормальных условиях региона памяти (верхние 16 МБайт ОЗУ), зарезервированного для ME. ME-руткит мог быть установлен независимо от наличия AMT, так как чипсет всегда содержит ARC-сопроцессор ME. Обозначение «−3» было выбрано потому, что сопроцессор ME активен, даже когда система находится в спящем режиме (состояние S3), следовательно он считается более низкоуровневым, чем руткиты System Management Mode [20] . Для уязвимого чипсета Q35 Патриком Стевином (Patrick Stewin) был продемонстрирован отслеживающий нажатия клавиш ME-руткит [36] [37] .

SA-00075 [ править | править код ]

В мае 2017 года компания Intel подтвердила, что многие компьютеры с AMT содержат незакрытую критическую уязвимость повышения привилегий (CVE-2017-5689) [8] [10] [38] [39] [40] . Уязвимость, которую сообщившие о ней компании Intel исследователи назвали «Silent Bob is Silent» [41] , затрагивает множество ноутбуков, компьютеров и серверов, продаваемых компаниями Dell, Fujitsu, Hewlett-Packard (Hewlett Packard Enterprise и HP Inc. после разделения), Intel, Lenovo и, возможно, других [41] [42] [43] [44] [45] [46] [47] . Исследователи заявили, что ошибка затрагивает системы, произведённые в 2010 году и позднее [48] . Некоторые сообщают, что ошибка также распространяется на системы, произведённые ещё в 2008 году [10] [49] . По описаниям, уязвимость позволяет удалённым злоумышленникам получить:

полный контроль над уязвимыми машинами, включая возможность читать и изменять всё что угодно. Она может быть использована для установки персистентых злонамеренных программ (возможно в прошивку) и для чтения и изменения любых данных.

SA-00086 [ править | править код ]

Через несколько месяцев после обнаружения предыдущей уязвимости и последовавших предупреждений EFF [2] компания Positive Technologies заявила о разработке работающего эксплоита [50] . 20 ноября 2017 года компания Intel подтвердила обнаружение серьёзных брешей в Management Engine, Trusted Execution Engine и Server Platform Services, и выпустила критическое обновление («critical firmware update») [51] [52] . Практически каждый компьютер на базе Intel, выпущенный в последние несколько лет, включая большинство серверов и домашних компьютеров, уязвим и может быть скомпрометирован, хотя не все потенциальные пути использования уязвимости точно известны [52] . Проблему нельзя исправить на уровне операционной системы, и необходимо обновление прошивки материнской платы (BIOS, UEFI), что предположительно займёт некоторое время у производителей [14] .

Читайте также:  Где можно найти номер телефона человека

Подозрения в наличии бэкдора [ править | править код ]

Критики, такие как Фонд электронных рубежей (EFF) и эксперт по безопасности Damien Zammit, обвиняют ME в наличии бэкдора [2] [53] . Zammit отмечает, что ME имеет полный доступ к памяти (без всякого ведома на то родительского ЦПУ); имеет полный доступ к TCP/IP стеку и может посылать и принимать пакеты независимо от операционной системы, обходя таким образом её файрволл.

Компания Intel ответила, что «Intel не встраивает бэкдоров в свои продукты, и они не дают Intel контроля или доступа к вычислительной системе без явного разрешения конечного пользователя» [7] [54] .

Intel не разрабатывает и не будет разрабатывать бэкдоров для доступа к своим продуктам. Последние отчёты, заявляющие об обратном, основаны на неверной информации и абсолютно ложны. Intel не предпринимает попыток понизить безопасность своих технологий.

Реакции [ править | править код ]

Компания Google, по состоянию на 2017 год, пыталась избавиться от проприетарных прошивок со своих серверов и обнаружила, что технология ME является препятствием на пути к этому [14] .

Реакция производителей процессоров AMD [ править | править код ]

Вскоре после исправления уязвимости SA-00086 производители материнских плат для процессоров AMD стали поставлять обновления BIOS, позволяющие отключить AMD Secure Technology [55] , схожую с Intel ME подсистему.

Тип материала Информация о продукции и документация

Идентификатор статьи 000008927

Последняя редакция 08.11.2017

Intel® Management Engine — встроенный микроконтроллер (интегрирован в некоторые наборы микросхем Intel) под управлением операционной системы легкого микроядра, который предоставляет множество функций и служб для компьютерных систем на базе процессоров Intel®.

Какие функции выполняет Intel® Management Engine?

К функциям относятся (но ими не ограничивается):

  • Внешние (ООВ) службы управления с низким энергопотреблением
  • Служба CLS (Capability Licensing Service)
  • Функция защиты от краж
  • Функция PAVP (Protected Audio Video Path)

Во время инициализации системы микроконтроллер Intel® Management Engine загружает свой код из системной флэш-памяти. Это позволяет Intel® Management Engine запускаться до запуска основной операционной системы. Intel® Management Engine имеет доступ к защищенной области системной памяти, находящейся на устройствах хранения данных для выполнения (в дополнение к небольшому количеству кэш-памяти микросхемы для более быстрой и эффективной обработки).

Важнейшей особенностью функции Intel® Management Engine является независимость состояния ее питания от состояний питания ОС компьютера. Эта функция позволяет ему работать, когда микропроцессор и многие другие компоненты системы находятся в состояниях глубокого сна. Поэтому Intel® Management Engine может быть полностью функционирующим компонентом сразу после включения питания системы. Эта возможность позволяет реагировать на внешние команды OOB с консоли ИТ-управления без необходимости пробуждения всей системы. Поэтому значительно снижается энергопотребление.

Ссылка на основную публикацию
I5 760 сравнение с новыми процессорами
Сравнительный анализ процессоров Intel Core i5-4590S и Intel Core i5-760 по всем известным характеристикам в категориях: Общая информация, Производительность, Память,...
Error 502 что это за ошибка
25 октября 2017 года. Опубликовано в разделах: Азбука терминов. 13779 Больше видео на нашем канале - изучайте интернет-маркетинг с SEMANTICA...
Error service disabled 0x80070422
В данной статье будут даны рекомендации, которые помогут исправить ошибку 0x80070422 в операционных системах Windows 7, Windows 8 и Windows...
Iba off на инфинити что это
На панели приборов Инфинити одновременно загорелись лампочки BRAKE, SLIP, VDC OFF - что это? И что делать? Синими стрелками указаны...
Adblock detector