Falle di sicurezza nelle CPU Intel Core, Xeon, Atom e Celeron (milioni di PC). Il tool di verifica

[cdimauro]

Quote:

Originariamente inviato da Piedone1113

Intel non ha ammesso un bel niente:

C'è un comunicato stampa sulla vulnerabilità: questo significa ammettere pubblicamente un problema.

C'è per caso qualcosa del genere anche da parte di AMD?

Quote:

è un bug o una backdoor?
nel primo caso è grave, nel secondo molto di più. (perchè a pensar male spesso ci si prende).

Ovviamente è un bug: le backdoor, per definizione, si tengono ben nascoste.

Più precisamente, si tratta di una vulnerabilità, come specificato nel comunicato stampa. E affligge soltanto alcune versioni del firmware del ME.

Le backdoor in genere si tramandano di versione in versione.

Quote:

Ma la cosa molto più grave è per chi ha batterie di server e dover aggiornare tutte le macchine (e qualcuno probabilmente cambierà produttore di sistemi).

Come già detto, si tratta di una falla sfruttabile soltanto localmente, tramite una chiavetta USB appositamente realizzata. Niente attacchi da remoto, e quindi se alla tua server farm non fai accedere nessuno a parte il tuo personale (come dovrebbe essere effettivamente) sei a posto.

Quote:

Sicuro che sia un bug?
A come ho capito non tutte le cpu dello stesso wafer sono affette dal problema, quindi ci andrei con i piedi di piombo ad etichettarlo come un bug (se vogliamo essere tecnici),

Puoi chiamarlo issue o erratum, come si usa genericamente per identificare una problematica. Da quel che è emerso finora si tratterebbe di un errore di progettazione. Non risolvibile senza il cambio del processore.

E siccome non c'è nemmeno un riproduttore preciso, l'unica soluzione sarebbe un richiamo di massa dei processori venduti, che però AMD vuole ovviamente evitare IMO, perché le costerebbe molto più di quanto all'epoca sborsò Intel per il famigerato FDIV bug del primo Pentium, visto che AMD ha già venduto diversi milioni di pezzi.

Per cui ha tutto l'interesse a mantenere un basso profilo senza fare proclami pubblici.

Quote:

per il resto il problema che affligge alcuni ryzen si presenta a random e non sempre nello stesso punto del codice.

Perché al momento le cause sono sconosciute e non esiste un riproduttore dell'errore in questione, come ad esempio il tool fornito da Intel che permette di verificare immediatamente il problema.

Questi sono i bug più difficili da scovare, perché devi mettere sotto stress particolari parti del processore, finché non si arriva alla combinazione giusta di fattori che fa scattare il problema.
Un po' come il bug del TLB dei primi Phenom, per capirci, che saltava fuori in particolari (rare) condizioni, e di cui mi pare che non esista un "riproduttore".

L'unica differenza è che per il bug della TLB c'era un workaround, mentre qui sembra non esserci.

[fantonimanuel]

Per chi ha schede madri asrock afflitte dal problema, pare ci sia un aggiornamento del me...

Qua per i dettagli

Qualcuno ha già fatto questo upgrade?

[pabloski]

Wow è partita "operazione trasparenza"

Hanno trovato qualche bug, distribuito un tool per verificare se si è vulnerabili, spingeranno qualche OEM ad aggionare. E l'utente si sentirà al sicuro...

Ma rendere sto azzo di ME disabilitabile, no eh!?! Troppo difficile? Ma per la NSA lo si fa senza fiatare. Dai dai, basta un bit, un flagghettino e il problema è risolto per sempre.

[MiKeLezZ]

Questo bug è proprio un problemone: ieri accendo il Lenovo Companion e in 10 minuti mi ha aggiornato automaticamente il firmware del mio Lenovo... non perdo neanche tempo a scaricare ed avviare tool di verifica.

[evil weasel]

A prescindere dagli aggiornamenti rilasciati con tempestività Intel ME è una porcata che nemmeno dovrebbe esserci sulla stragrande maggioranza dei PC.

[pabloski]

Quote:

Originariamente inviato da evil weasel

A prescindere dagli aggiornamenti rilasciati con tempestività Intel ME è una porcata che nemmeno dovrebbe esserci sulla stragrande maggioranza dei PC.

Che vogliano mettercela ci può pure stare, perchè magari i loro clienti enterprise ( così dicono loro ) la vogliono. Ma almeno renderla disabilitabile. E' normale che uno debba avere una java virtual machine che gira su una CPU parallela al processore principale? Una CPU plenipotenziaria oltretutto. Puzza di problema di sicurezza da km di distanza e non penso che alla Intel non abbia ingegneri in grado di capire che bomba è un meccanismo del genere.

Al che ( alla luce del Datagate in particolare ) si accende la lampadina complottista...Se poi pure AMD segue la stessa strada, le teoria del complotto diventa sempre più reale.

Cioè qui non stiamo parlando di un buffer overflow che può sempre capitare a chi programma in C. Qui stiamo parlando di un qualcosa che già teoricamente è una calamita per guai e disastri di proporzioni immani. O alla Intel pensano di poter realizzare software bug free?

[MiKeLezZ]

Quote:

Originariamente inviato da pabloski

Che vogliano mettercela ci può pure stare, perchè magari i loro clienti enterprise ( così dicono loro ) la vogliono. Ma almeno renderla disabilitabile. E' normale che uno debba avere una java virtual machine che gira su una CPU parallela al processore principale? Una CPU plenipotenziaria oltretutto. Puzza di problema di sicurezza da km di distanza e non penso che alla Intel non abbia ingegneri in grado di capire che bomba è un meccanismo del genere.

Al che ( alla luce del Datagate in particolare ) si accende la lampadina complottista...Se poi pure AMD segue la stessa strada, le teoria del complotto diventa sempre più reale.

Cioè qui non stiamo parlando di un buffer overflow che può sempre capitare a chi programma in C. Qui stiamo parlando di un qualcosa che già teoricamente è una calamita per guai e disastri di proporzioni immani. O alla Intel pensano di poter realizzare software bug free?

A quanto pare tutte le attuali architetture (ARM, AMD, INTEL) hanno un miniPC integrato (non accessibile) che sovraintende quello principale (user space), conferma l'integrità dei dati ivi contenuti (trusted zone) e può essere utilizzato come strumento per la gestione remota del sistema (tecnologie vPro per Intel). L'attuale bug riguarda i processi eseguiti in user space che accedono a tali servizi, ma non sono note vulnerabilità ed exploit. Che comunque si limiterebbero all'utilizzo degli strumenti vPro (in quanto il miniPC integrato è inaccessibile e non modificabile dall'user space). L'Intel ME si può tranquillamente non installare se non si è interessati a tali strumenti di gestione remota.
Embé?

[Mr Burns]

IO ho aggiornato il bios della mobo, ma la vulnerabilità RIMANE. Ho scaricato il tool asus per agiornare il firmware del ME ma crasha di brutto e manda in blocco il bios. Non si resetta, quando si spegne le ventole rimangono tutte su on, avvio lentisismo. Ho dovuto ripristinare. Qualcuno con mobo asus ha risolto? Grazie ciao.


PS ho letto poche discussioni fa: "Come già detto, si tratta di una falla sfruttabile soltanto localmente, tramite una chiavetta USB appositamente realizzata. Niente attacchi da remoto, e quindi se alla tua server farm non fai accedere nessuno a parte il tuo personale (come dovrebbe essere effettivamente) sei a posto."

Mi chiedo dunque è cosi necessario per noi comuni utenti aggiornare? Grazie

[phaolo]

Il programma Intel's DiscoveryTool riporta:
"your system is vulnerable"

Ma il fix Asus MEUpdateTool dice:
"Error 8193: Fail to load MEI device driver"

Quindi... cosa faccio ora? O_o'
Non che mi interessi attivare il ME, ma vorrei comunque patcharlo.

[v10_star]

Based on the analysis performed by this tool: This system is aperto come uno startac.


Manufacturer: Supermicro
Model: X11SSQ
Processor Name: Intel(R) Core(TM) i7-6700 CPU @ 3.40GHz
OS Version: Microsoft Windows -------------------------

Intel(R) ME Information
Engine: Intel(R) Management Engine
Version: 11.0.0.1168
SVN: 1


Speriamo in San Supermicro.

Intanto la nic dedicata a kvm/ime l'ho messa su una vlan isolata, anche se credo che non serva a un emerito 8=D dato che sarebbe forse + utile disattivare i device ME da gest. periferiche per limitare il più possibile interazioni os-> firmware Me.

Putroppo tutti i device oob/lom/ipmi powered hanno sofferto di vulnerabilità di vario genere nel tempo e i vendor raccomandano sempre di non esporre queste interfacce direttamente in internet ma su prodotti di fascia medio/alta quasi sempre sono su una nic /rs232 separata dall'os proprio per questo scopo. Intel invece li ha implementati in un modo non slegabile e da qua i problemi di cui sopra. LA cosa che sorprende in negativo è che i buchi non sono solo nei chipset della serie Q (con supporto esteso vpro / Ime) ma anche in prodotti di fascia più bassa di solito con la dicitura "intel small business advantage".

[evil weasel]

Intel ME è il corrispettivo del modem presente in tutti i telefoni in quanto sono entrambi un cancro non eliminabile.
Hanno accesso diretto alla memoria ed a qualsiasi periferica, il loro funzionamento non dipende dai driver specifici che possono essere installati o meno nel sistema operativo che gira sul dispositivo.

[Stephen88]

vedi ad avere ancora un core di seconda generazione come si è rivelato utile.

[Alucard88]

quei furboni di MSI, si vantano di essere i primi ad aver rilasciato una patch, peccato sia solo per le MB ultimo modello top di gamma...

[Alucard88]

quei furboni di MSI, si vantano di essere i primi ad aver rilasciato una patch, peccato sia solo per le MB ultimo modello top di gamma...

[xwang]

Quindi questa vulnerabilità non è usabile da remoto, giusto?

[nitro89]

Quote:

Originariamente inviato da xwang

Quindi questa vulnerabilità non è usabile da remoto, giusto?

Non è stato ancora comprovato.

[phaolo]

Quote:

Originariamente inviato da phaolo

Il programma Intel's DiscoveryTool riporta:
"your system is vulnerable"

Ma il fix Asus MEUpdateTool dice:
"Error 8193: Fail to load MEI device driver"

Ah, qui hanno trovato una soluzione al mio problema:
https://rog.asus.com/forum/showthrea...E-DRIVER/page5

[cdimauro]

Quote:

Originariamente inviato da pabloski

Wow è partita "operazione trasparenza"

Hanno trovato qualche bug, distribuito un tool per verificare se si è vulnerabili, spingeranno qualche OEM ad aggionare. E l'utente si sentirà al sicuro...

Fino a prova contraria qualunque sistema è "sicuro".

Quote:

Ma rendere sto azzo di ME disabilitabile, no eh!?! Troppo difficile? Ma per la NSA lo si fa senza fiatare. Dai dai, basta un bit, un flagghettino e il problema è risolto per sempre.

Sono d'accordo che si dovrebbe dare la possibilità di disabilitare alcuni moduli.

Ma il ME è un componente che ormai serve a chip complessi come quelli di cui stiamo parlando. E' lui che si avvia al reset, e che provvede poi a inizializzare il chip, i suoi vari componenti, e a farli partire. Questa è una cosa che, ovviamente, non è disabilitabile.

Quote:

Originariamente inviato da evil weasel

A prescindere dagli aggiornamenti rilasciati con tempestività Intel ME è una porcata che nemmeno dovrebbe esserci sulla stragrande maggioranza dei PC.

E' una porcata avere un sistema che inizializza un chip complesso?

Quote:

Originariamente inviato da pabloski

Che vogliano mettercela ci può pure stare, perchè magari i loro clienti enterprise ( così dicono loro ) la vogliono. Ma almeno renderla disabilitabile. E' normale che uno debba avere una java virtual machine che gira su una CPU parallela al processore principale?

Non c'è nessuna VM. Il codice che gira nel ME è binario: puro x86.

Quote:

Una CPU plenipotenziaria oltretutto. Puzza di problema di sicurezza da km di distanza e non penso che alla Intel non abbia ingegneri in grado di capire che bomba è un meccanismo del genere.

Abbiamo già parlato dell'apertura di un sistema vs la sua chiusura. Manca ancora la dimostrazione che un sistema aperto sia sempre intrinsecamente preferibile a uno chiuso.

Viceversa, i terroristi sarebbero ben felici di poter avere tutti gli schemi e i sorgenti usati da centrali nucleari.

Quote:

Al che ( alla luce del Datagate in particolare ) si accende la lampadina complottista...Se poi pure AMD segue la stessa strada, le teoria del complotto diventa sempre più reale.

Tutti i produttori microprocessori "main stream" adottano componenti del genere. Persino le GPU ne sono provviste.

E non per complotto, ma per necessità.

Quote:

Cioè qui non stiamo parlando di un buffer overflow che può sempre capitare a chi programma in C. Qui stiamo parlando di un qualcosa che già teoricamente è una calamita per guai e disastri di proporzioni immani. O alla Intel pensano di poter realizzare software bug free?

E quindi, quale sarebbe il problema? I bug possono esserci su qualunque sistema, siano essi aperti o chiusi. Ma vale quanto detto sopra.

Quote:

Originariamente inviato da MiKeLezZ

A quanto pare tutte le attuali architetture (ARM, AMD, INTEL) hanno un miniPC integrato (non accessibile) che sovraintende quello principale (user space), conferma l'integrità dei dati ivi contenuti (trusted zone) e può essere utilizzato come strumento per la gestione remota del sistema (tecnologie vPro per Intel). L'attuale bug riguarda i processi eseguiti in user space che accedono a tali servizi, ma non sono note vulnerabilità ed exploit. Che comunque si limiterebbero all'utilizzo degli strumenti vPro (in quanto il miniPC integrato è inaccessibile e non modificabile dall'user space).

*

Quote:

L'Intel ME si può tranquillamente non installare se non si è interessati a tali strumenti di gestione remota.
Embé?

No, serve anche a inizializzare il sistema.

Quote:

Originariamente inviato da Mr Burns

PS ho letto poche discussioni fa: "Come già detto, si tratta di una falla sfruttabile soltanto localmente, tramite una chiavetta USB appositamente realizzata. Niente attacchi da remoto, e quindi se alla tua server farm non fai accedere nessuno a parte il tuo personale (come dovrebbe essere effettivamente) sei a posto."

Mi chiedo dunque è cosi necessario per noi comuni utenti aggiornare? Grazie

No, al momento non hai nulla da temere, a meno che non fai accedere e utilizzare il tuo PC a estranei, senza alcun controllo.

Quote:

Originariamente inviato da xwang

Quindi questa vulnerabilità non è usabile da remoto, giusto?

Al momento è un problema locale. Non è stato scritto nulla su eventuali attacchi da remoto.

[evil weasel]

Quote:

Originariamente inviato da cdimauro

E' una porcata avere un sistema che inizializza un chip complesso?

È una porcata che questo sistema sia closed source e che abbia una valanga di funzionalità che esulano totalmente dalla mera inizializazione della CPU.

[cdimauro]

Il fatto che sia closed source NON è una porcata, a meno che non dimostri che closed = porcata, ovviamente.

Che abbia moduli per fare altro è un discorso diverso: bisogna vedere cosa fanno i singoli moduli.