Intel 관리 엔진, 설명 : CPU 내부의 작은 컴퓨터
Intel Management Engine은 2008 년부터 Intel 칩셋에 포함되었습니다. 기본적으로 PC의 메모리, 디스플레이, 네트워크 및 입력 장치에 대한 전체 액세스 권한이있는 컴퓨터 내부의 작은 컴퓨터입니다. 인텔이 작성한 코드를 실행하며 인텔은 내부 작동에 대한 많은 정보를 공유하지 않았습니다.
인텔 ME라고도하는이 소프트웨어는 인텔이 2017 년 11 월 20 일에 발표 한 보안 허점으로 인해 뉴스에 등장했습니다. 취약한 경우 시스템을 패치해야합니다. 이 소프트웨어는 인텔 프로세서가 탑재 된 모든 최신 시스템에 대한 심층적 인 시스템 액세스 및 존재를 통해 공격자들의 육중 한 표적이됩니다.
인텔 ME는 무엇입니까?
그렇다면 인텔 관리 엔진은 무엇입니까? 인텔은 몇 가지 일반적인 정보를 제공하지만 인텔 관리 엔진이 수행하는 대부분의 특정 작업과 작동 방식을 정확하게 설명하지 않습니다.
인텔이 말했듯이 관리 엔진은 "작은 저전력 컴퓨터 하위 시스템"입니다. "시스템이 절전 모드에있는 동안, 부팅 프로세스 동안 및 시스템이 실행 중일 때 다양한 작업을 수행합니다".
즉, 이것은 분리 된 칩에서 실행되지만 PC 하드웨어에 액세스 할 수있는 병렬 운영 체제입니다. 컴퓨터가 절전 모드 일 때, 부팅 중이거나 운영 체제가 실행되는 동안 실행됩니다. 시스템 메모리, 디스플레이 내용, 키보드 입력 및 네트워크를 포함하여 시스템 하드웨어에 대한 전체 액세스 권한이 있습니다.
이제 Intel Management Engine이 MINIX 운영 체제를 실행한다는 것을 알고 있습니다. 그 외에도 Intel Management Engine 내에서 실행되는 정확한 소프트웨어는 알려져 있지 않습니다. 작은 블랙 박스이고 인텔 만이 내부에 무엇이 있는지 정확히 알고 있습니다.
인텔 액티브 관리 기술 (AMT)이란 무엇입니까?
다양한 하위 수준 기능 외에도 Intel Management Engine에는 Intel Active Management Technology가 포함되어 있습니다. AMT는 Intel 프로세서가 탑재 된 서버, 데스크톱, 랩톱 및 태블릿을위한 원격 관리 솔루션입니다. 가정 사용자가 아닌 대규모 조직을 대상으로합니다. 기본적으로 활성화되어 있지 않으므로 일부 사람들이 호출했듯이 실제로 "백도어"가 아닙니다.
AMT를 사용하여 Intel 프로세서가있는 컴퓨터의 전원을 원격으로 켜고, 구성하고, 제어하거나 삭제할 수 있습니다. 일반적인 관리 솔루션과 달리 이것은 컴퓨터가 운영 체제를 실행하지 않는 경우에도 작동합니다. Intel AMT는 Intel Management Engine의 일부로 실행되므로 조직은 Windows 운영 체제없이 원격으로 시스템을 관리 할 수 있습니다.
2017 년 5 월 인텔은 공격자가 필요한 암호를 제공하지 않고도 컴퓨터에서 AMT에 액세스 할 수 있도록하는 AMT의 원격 악용을 발표했습니다. 그러나 이는 대부분의 가정용 사용자가 아닌 Intel AMT를 사용하기 위해 노력한 사람들에게만 영향을 미칩니다. AMT를 사용하는 조직 만이 문제에 대해 걱정하고 컴퓨터의 펌웨어를 업데이트해야했습니다.
이 기능은 PC 전용입니다. Intel CPU가있는 최신 Mac에도 Intel ME가 있지만 Intel AMT는 포함되어 있지 않습니다.
비활성화 할 수 있습니까?
Intel ME를 비활성화 할 수 없습니다. 시스템의 BIOS에서 Intel AMT 기능을 비활성화하더라도 Intel ME 보조 프로세서 및 소프트웨어는 여전히 활성 상태이며 실행 중입니다. 이 시점에서 Intel CPU가있는 모든 시스템에 포함되어 있으며 Intel은이를 비활성화 할 수있는 방법을 제공하지 않습니다.
인텔은 인텔 ME를 비활성화하는 방법을 제공하지 않지만 다른 사람들은이를 비활성화하는 실험을했습니다. 하지만 스위치를 튕기는 것만 큼 간단하지는 않습니다. 진취적인 해커들은 상당한 노력을 기울여 Intel ME를 비활성화 할 수 있었으며 Purism은 이제 Intel Management Engine이 기본적으로 비활성화 된 랩톱 (구형 Intel 하드웨어 기반)을 제공합니다. 인텔은 이러한 노력에 만족하지 않을 수 있으며 향후 인텔 ME를 비활성화하는 것을 더욱 어렵게 만들 것입니다.
그러나 일반 사용자의 경우 Intel ME를 비활성화하는 것은 기본적으로 불가능하며 이는 의도적으로 설계된 것입니다.
왜 비밀인가?
인텔은 경쟁사가 Management Engine 소프트웨어의 정확한 작동을 알기를 원하지 않습니다. 인텔은 또한 공격자가 인텔 ME 소프트웨어에 대해 배우고 구멍을 찾는 것을 더 어렵게 만들기 위해 여기에서 "모호한 보안"을 수용하는 것으로 보입니다. 그러나 최근의 보안 허점에서 알 수 있듯이 모호한 보안은 보장 된 솔루션이 아닙니다.
이것은 조직에서 AMT를 활성화하고이를 사용하여 자체 PC를 모니터링하지 않는 한 어떤 종류의 스파이 또는 모니터링 소프트웨어가 아닙니다. 인텔의 관리 엔진이 다른 상황에서 네트워크에 접속했다면 사람들이 네트워크에서 트래픽을 모니터링 할 수있게 해주는 Wireshark와 같은 도구 덕분에 우리는이를 들어 보았을 것입니다.
그러나 비활성화 할 수없고 폐쇄 된 소스 인 Intel ME와 같은 소프트웨어의 존재는 확실히 보안 문제입니다. 공격의 또 다른 통로이며 인텔 ME에서 이미 보안 허점을 목격했습니다.
컴퓨터의 Intel ME가 취약합니까?
2017 년 11 월 20 일 인텔은 타사 보안 연구원이 발견 한 인텔 ME의 심각한 보안 허점을 발표했습니다. 여기에는 로컬 액세스 권한이있는 공격자가 전체 시스템 액세스 권한으로 코드를 실행할 수있는 결함과 원격 액세스 권한이있는 공격자가 전체 시스템 액세스 권한으로 코드를 실행할 수있는 원격 공격이 모두 포함됩니다. 그들이 얼마나 악용 할 것인지는 불분명합니다.
인텔은 컴퓨터의 인텔 ME가 취약한 지 또는 수정되었는지 확인하기 위해 다운로드하고 실행할 수있는 탐지 도구를 제공합니다.
이 도구를 사용하려면 Windows 용 ZIP 파일을 다운로드하여 열고 "DiscoveryTool.GUI"폴더를 두 번 클릭합니다. "Intel-SA-00086-GUI.exe"파일을 두 번 클릭하여 실행합니다. UAC 프롬프트에 동의하면 PC가 취약한 지 여부를 알려줍니다.
관련 : UEFI는 무엇이며 BIOS와 어떻게 다릅니 까?
PC가 취약한 경우 컴퓨터의 UEFI 펌웨어를 업데이트하여 Intel ME 만 업데이트 할 수 있습니다. 컴퓨터 제조업체에서이 업데이트를 제공해야하므로 제조업체 웹 사이트의 지원 섹션에서 사용 가능한 UEFI 또는 BIOS 업데이트가 있는지 확인하십시오.
인텔은 또한 다른 PC 제조업체에서 제공하는 업데이트 정보에 대한 링크가있는 지원 페이지를 제공하며 제조업체가 지원 정보를 릴리스 할 때마다 업데이트를 유지하고 있습니다.
AMD 시스템에는 전용 ARM 프로세서에서 실행되는 AMD TrustZone이라는 유사한 이름이 있습니다.
이미지 크레디트 : Laura Houser.
