Intel Management Engine, explicado: O pequeno computador dentro de sua CPU

O Intel Management Engine está incluído nos chipsets da Intel desde 2008. É basicamente um pequeno computador dentro de um computador, com acesso total à memória, monitor, rede e dispositivos de entrada do seu PC. Ele roda código escrito pela Intel, e a Intel não compartilha muitas informações sobre seu funcionamento interno.

Este software, também chamado de Intel ME, apareceu no noticiário por causa de falhas de segurança que a Intel anunciou em 20 de novembro de 2017. Você deve corrigir o seu sistema se ele estiver vulnerável. O profundo acesso ao sistema e a presença deste software em todos os sistemas modernos com um processador Intel significa que ele é um alvo interessante para invasores.

O que é Intel ME?

Então, o que é o Intel Management Engine, afinal? A Intel fornece algumas informações gerais, mas evitam explicar a maioria das tarefas específicas que o Intel Management Engine executa e exatamente como ele funciona.

Como diz a Intel, o Management Engine é “um pequeno subsistema de computador de baixo consumo de energia”. Ele “executa várias tarefas enquanto o sistema está em hibernação, durante o processo de inicialização e quando o sistema está funcionando”.

Em outras palavras, este é um sistema operacional paralelo rodando em um chip isolado, mas com acesso ao hardware do seu PC. Ele é executado quando o computador está hibernando, durante a inicialização e enquanto o sistema operacional está em execução. Ele tem acesso total ao hardware do seu sistema, incluindo a memória do sistema, o conteúdo do seu monitor, entrada do teclado e até mesmo a rede.

Agora sabemos que o Intel Management Engine executa um sistema operacional MINIX. Além disso, o software preciso que é executado dentro do Intel Management Engine é desconhecido. É uma pequena caixa preta e só a Intel sabe exatamente o que está dentro.

O que é Intel Active Management Technology (AMT)?

Além de várias funções de baixo nível, o Intel Management Engine inclui a Intel Active Management Technology. AMT é uma solução de gerenciamento remoto para servidores, desktops, laptops e tablets com processadores Intel. Destina-se a grandes organizações, não a usuários domésticos. Não é habilitado por padrão, então não é realmente um "backdoor", como algumas pessoas o chamam.

O AMT pode ser usado para ligar, configurar, controlar ou limpar remotamente computadores com processadores Intel. Ao contrário das soluções de gerenciamento típicas, isso funciona mesmo se o computador não estiver executando um sistema operacional. Intel AMT é executado como parte do Intel Management Engine, para que as organizações possam gerenciar sistemas remotamente sem um sistema operacional Windows em funcionamento.

Em maio de 2017, a Intel anunciou uma exploração remota no AMT que permitiria que os invasores acessassem o AMT em um computador sem fornecer a senha necessária. No entanto, isso afetaria apenas as pessoas que se esforçaram para habilitar o Intel AMT - o que, novamente, não é o caso da maioria dos usuários domésticos. Somente as organizações que usaram o AMT precisam se preocupar com esse problema e atualizar o firmware de seus computadores.

Este recurso é apenas para PCs. Embora os Macs modernos com CPUs Intel também tenham o Intel ME, eles não incluem o Intel AMT.

Você pode desativá-lo?

Você não pode desativar o Intel ME. Mesmo que você desative os recursos do Intel AMT no BIOS do sistema, o coprocessador Intel ME e o software ainda estarão ativos e em execução. Neste ponto, ele está incluído em todos os sistemas com CPUs Intel e a Intel não oferece nenhuma maneira de desativá-lo.

Embora a Intel não ofereça nenhuma maneira de desabilitar o Intel ME, outras pessoas já experimentaram desabilitá-lo. Não é tão simples quanto apertar um botão, no entanto. Hackers empreendedores conseguiram desabilitar o Intel ME com bastante esforço, e a Purism agora oferece laptops (baseados em hardware Intel mais antigo) com o Intel Management Engine desabilitado por padrão. A Intel provavelmente não está feliz com esses esforços e tornará ainda mais difícil desabilitar o Intel ME no futuro.

Mas, para o usuário médio, desabilitar o Intel ME é basicamente impossível - e isso é intencional.

Por que o sigilo?

A Intel não quer que seus concorrentes saibam o funcionamento exato do software Management Engine. A Intel também parece estar adotando a “segurança pela obscuridade” aqui, tentando tornar mais difícil para os invasores descobrirem e encontrarem brechas no software Intel ME. No entanto, como as brechas de segurança recentes mostraram, a segurança pela obscuridade não é uma solução garantida.

Este não é nenhum tipo de software de espionagem ou monitoramento - a menos que uma organização tenha habilitado o AMT e o esteja usando para monitorar seus próprios PCs. Se o mecanismo de gerenciamento da Intel estava entrando em contato com a rede em outras situações, provavelmente teríamos ouvido falar dele graças a ferramentas como o Wireshark, que permite às pessoas monitorar o tráfego em uma rede.

No entanto, a presença de software como o Intel ME que não pode ser desativado e é de código fechado é certamente uma preocupação de segurança. É outra via de ataque, e já vimos falhas de segurança no Intel ME.

O Intel ME do seu computador é vulnerável?

Em 20 de novembro de 2017, a Intel anunciou sérias falhas de segurança no Intel ME que foram descobertas por pesquisadores de segurança terceirizados. Isso inclui falhas que permitiriam a um invasor com acesso local executar código com acesso total ao sistema e ataques remotos que permitiriam invasores com acesso remoto executar código com acesso total ao sistema. Não está claro o quão difícil eles seriam de explorar.

A Intel oferece uma ferramenta de detecção que você pode baixar e executar para descobrir se o Intel ME do seu computador está vulnerável ou se foi corrigido.

Para usar a ferramenta, baixe o arquivo ZIP para Windows, abra-o e clique duas vezes na pasta “DiscoveryTool.GUI”. Clique duas vezes no arquivo “Intel-SA-00086-GUI.exe” para executá-lo. Concorde com o prompt do UAC e você será informado se seu PC está vulnerável ou não.

RELACIONADO:O que é UEFI e como é diferente da BIOS?

Se o seu PC estiver vulnerável, você só pode atualizar o Intel ME atualizando o firmware UEFI do seu computador. O fabricante do seu computador deve fornecer esta atualização, portanto, verifique a seção de suporte do site do fabricante para ver se há alguma atualização UEFI ou BIOS disponível.

A Intel também fornece uma página de suporte com links para informações sobre atualizações fornecidas por diferentes fabricantes de PC, e eles a mantêm atualizada conforme os fabricantes lançam informações de suporte.

Os sistemas AMD têm algo semelhante chamado AMD TrustZone, que roda em um processador ARM dedicado.

Crédito da imagem: Laura Houser.


$config[zx-auto] not found$config[zx-overlay] not found