Уязвимости в чипах Intel подвергают риску миллионы устройств

Олег Иванов 21 Ноября 2017 - 16:03

Домашние пользователи

...

Исследователи в области безопасности в течение многих лет предупреждали о функции удаленного администрирования Intel, известной как Management Engine. Несмотря на то, что эта подсистема способна предложить много полезных функций для ИТ-специалистов, она также является заманчивой целью для киберпреступников.

Эксперты утверждают, что компрометация Management Engine (Intel ME) может позволить злоумышленнику полностью завладеть компьютером. Теперь, после того, как несколько исследовательских групп обнаружили недостатки ME, Intel подтвердила наличие проблемы.

В понедельник специалист опубликовал рекомендации по безопасности, в которых перечислены новые уязвимости в ME, а также ошибки в инструменте удаленного управления сервером Server Platform Services и аппаратном средстве проверки подлинности Intel Trusted Execution Engine. Intel, в свою очередь, обнаружила уязвимости после проведения аудита безопасности, вызванного недавними исследованиями.

Более того, компания опубликовала инструмент, позволяющий администраторам систем Windows и Linux проверять их на наличие уязвимостей.

Основная проблема Management Engine заключается в том, что эта подсистема имеет обширный доступ к основным системным процессорам и контролирует их, что играет на руку злоумышленникам.

Российские программисты Максим Горячий и Марк Ермолов на конференции Black Hat Europe в следующем месяце обещают представить эксплойт, который может запускать неподписанный, непроверенный код на новых чипсетах Intel. Основным компонентов, служащим в реализации этого эксплойта, является как раз Intel ME.

Что поражает больше всего — все это может работать даже тогда, когда компьютер выключен, поскольку подключенное устройство находится на отдельном микропроцессоре и, по сути, действует как отдельный компьютер.

К сожалению, каждый выпущенный недавно чип Intel подвержен этой уязвимости. Усугубляет проблему тот факт, что Intel может предоставлять обновления производителям, но пользователям придется ждать, пока производители аппаратных составляющих применят исправления. Пока только Lenovo предложила решение этой проблемы своим клиентам.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Мая 2026 - 09:00

Linux Бэкдоры Руткиты Трояны Домашние пользователи Корпорации

Linux-руткит для разработчиков: Quasar крадёт ключи и токены

Исследователи из Trend Micro обнаружили ранее неизвестный Linux-вредонос Quasar Linux (QLNX). По словам экспертов, зловред нацелен на системы разработчиков и DevOps-среды, а также сочетает в себе функции руткита, бэкдора и способен перехватывать учётные данные.

Главная опасность QLNX в том, что он бьёт не просто по отдельным рабочим станциям, а по окружениям, где живут ключи, токены и доступы к инфраструктуре разработки.

Операторов интересуют npm, PyPI, GitHub, AWS, Docker и Kubernetes, что может открыть прямой путь к атакам на цепочки поставок софта.

По данным Trend Micro, после попадания в систему QLNX старается закрепиться максимально незаметно. Он работает в памяти, удаляет исходный бинарный файл с диска, чистит логи, подменяет имена процессов и убирает следы из переменных окружения, которые могли бы помочь при расследовании.

Для устойчивости имплант использует сразу несколько механизмов закрепления: LD_PRELOAD, systemd, crontab, init.d-скрипты, XDG autostart и внедрение в .bashrc. Если один способ не сработает или процесс завершат, у вредоносной программы остаются другие варианты вернуться.

Отдельно исследователи выделяют руткит-составляющую QLNX. Она работает на двух уровнях: через userland LD_PRELOAD и через eBPF-компонент на уровне ядра. Это позволяет скрывать процессы, файлы, сетевые порты и другие следы активности. Причём часть компонентов QLNX динамически компилирует прямо на заражённой машине с помощью gcc.

Функциональность у вредоноса внушительная. Он может открывать удалённую оболочку, управлять файлами и процессами, перехватывать учётные данные, собирать SSH-ключи, данные браузеров, облачные и developer-конфиги, содержимое /etc/shadow и буфера обмена. Есть также кейлоггер, снятие скриншотов, мониторинг файловой системы, SOCKS-прокси, TCP-туннелирование, сканирование портов и инструменты для перемещения по сети через SSH.

Trend Micro пока не раскрывает данные о конкретных атаках и не связывает QLNX с определённой группировкой. Масштаб распространения тоже остаётся неясным. На момент публикации зловред детектировали только четыре защитных продукты, поэтому риск незаметного присутствия в инфраструктуре выглядит вполне реальным.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!