Как отключить или удалить Intel SMM?

Question

Как отключить или удалить Intel SMM?

Я успешно удалил Intel ME из прошивки, перепрошив BIOS с помощью инструмента Corna:

https://github.com/corna/me_cleaner

Однако я все еще обеспокоен SMM. Уязвимости Intel ME и AMT ужасны и классифицируются как кольцо-3, однако модуль SMM также имеет множество уязвимостей и возможных руткитов и классифицируется как уязвимость кольца -2.

Я хотел бы удалить или полностью отключить модуль SMM. Это ноутбук Acer-Aspire с BIOS Insyde на нем.

Я не знаю, в какой степени удаление системы ME повлияло на модуль SMM, нужно ли мне также удалять SMM? Это вообще возможно? Если это так, скажите, пожалуйста, есть ли другие подобные инструменты, такие как инструмент Corna для ME, которые также могут удалить SMM.

3

security bios firmware acer-aspire flashing

Источник

Jack567 20 сен '17 в 21:49

2 ответа

Другие вопросы по тегам security bios firmware acer-aspire flashing

HackSlash 22 мар '21 в 21:55 2021-03-22 21:55 · Answer 1 · 2021-03-22 21:55

Лучшее решение — купить оборудование, которому вы доверяете. Основной пример — CoreBoot . Есть системные интеграторы, которые продают компьютеры на базе CoreBoot.

Если вы покупаете у System76 или Purism, вы поддерживаете людей, которые создают бесплатные и открытые прошивки, поэтому вам не придется идти по тому пути, по которому вы идете.

ДОПОЛНИТЕЛЬНОЕ ЧТЕНИЕ:

harrymc 21 мар '21 в 13:25 2021-03-21 13:25 · Answer 2 · 2021-03-21 13:25

Режим управления системой (SMM):

Ввод SMM осуществляется через SMI (прерывание управления системой), которое вызывается:

Сигнализация оборудования материнской платы или набора микросхем через назначенный контакт SMI# чипа процессора. Этот сигнал может быть независимым событием.

Программный SMI, запускаемый системным программным обеспечением через доступ ввода-вывода к месту, которое логика материнской платы считает особым (порт 0B2h является общим).

Запись ввода-вывода в место, которое микропрограмма запросила для обработки чипом процессора.

Это означает, что запуск SMM — это функция материнской платы, поэтому в зависимости от прошивки материнской платы она может быть включена или нет. Сама прошивка материнской платы защищена цифровой защитой от изменений.SMM не является функцией Intel Management Engine (ME) .

Срабатываемый SMM-код является частью BIOS, который сам по себе невозможно изменить, не обладая цифровым ключом производителя. Однако SMM можно обойти, изменив адрес прерывания SMI, чтобы он указывал на код, введенный злоумышленником.

Все эти действия требуют, чтобы злоумышленник действовал в режиме ядра, чтобы подорвать адрес SMI и код SMM, и для этого существуют эксплойты, как вы отметили выше. Однако, помимо интеллектуального удовлетворения от такого подвига, его полезность сомнительна:

Любой SMM-эксплойт не переживет перезагрузку
Подрыв SMM требует, чтобы злоумышленник действовал в пространстве ядра, поэтому уже имел контроль над компьютером.
Прерывание SMI не вызывается Windows, поэтому его отмена бесполезна.

Я считаю, что отключить или деактивировать SMM невозможно, но его присутствие на вашем компьютере (если оно присутствует) не является уязвимостью, которую злоумышленнику нужно будет (или потрудиться) атаковать.

Поскольку SMM непрозрачен для операционной системы, в Windows невозможно проверить его наличие или правильную работу.Microsoft требует от производителей материнских плат предоставить надежную и безопасную платформу, на которой код SMM тщательно анализируется и защищается. Для этого поставщик должен подтвердить Windows через ACPI, что в SMM реализованы определенные рекомендации по обеспечению безопасности.

Подробности см. в статье Общие сведения о таблице снижения безопасности Windows SMM (WSMT).