Вопрос или проблема
Мне удалось успешно удалить Intel ME из прошивки, перепрошив BIOS с помощью инструмента corna:
Однако я по-прежнему обеспокоен SMM. Уязвимости Intel ME и AMT ужасны и классифицируются как уязвимости кольца -3, однако модуль SMM также имеет множество уязвимостей и возможные руткиты, которые классифицируются как уязвимости кольца -2.
Я хотел бы полностью удалить или отключить модуль SMM. У меня ноутбук Acer-Aspire с BIOS Insyde.
Я не знаю, насколько удаление системы ME повлияло на модуль SMM, нужно ли мне удалять SMM тоже? Это вообще возможно? Если да, сообщите, пожалуйста, существуют ли другие аналогичные инструменты, такие как инструмент corna для ME, которые могут также удалить SMM.
Лучшее решение — купить аппаратное обеспечение, которому вы доверяете. Ярким примером является CoreBoot. Существуют системные интеграторы, которые продают компьютеры на базе CoreBoot.
Если вы покупаете у System76 или Purism, вы поддерживаете людей, которые создают бесплатную и открытую прошивку, чтобы вам не приходилось следовать тем путем, которым вы идете.
ДОПОЛНИТЕЛЬНОЕ ЧТЕНИЕ:
Режим управления системой (SMM):
SMM активируется через SMI (системное управление прерываниями), который вызывается:
- Аппаратным обеспечением материнской платы или чипсетом, сигнализирующим через назначенный пин SMI# процессора. Этот сигнал может быть независимым событием.
- Программным SMI, вызываемым системным программным обеспечением через доступ к I/O к местоположению, которое считается специальным логикой материнской платы (порт 0B2h является общим).
- Записью I/O в местоположение, с которым прошивка попросила процессор выполнить действие.
Это означает, что запуск SMM — это функция материнской платы, поэтому все зависит от прошивки материнской платы, включена ли она или нет. Само программное обеспечение материнской платы защищено от модификации. SMM конкретно не является функцией Intel Management Engine (ME).
Код SMM, который активируется, является частью BIOS, который сам по себе не может быть модифицирован без наличия цифрового ключа производителя. Однако SMM может быть подменен путем изменения адреса прерывания SMI, чтобы указать на код, введенный злоумышленником.
Все эти действия требуют от злоумышленника работы в режиме ядра, чтобы подменить адрес SMI и код SMM, и такие эксплойты действительно существуют, как вы уже отметили. Однако помимо интеллектуального удовлетворения от такого эксплойта, его полезность сомнительна:
- Любой эксплойт SMM не выживет после перезагрузки
- Подмена SMM требует от злоумышленника работы в пространстве ядра, поэтому он уже должен контролировать компьютер
- Прерывание SMI не вызывается Windows, так что его подмена не имеет смысла.
Я считаю, что отключить или деактивировать SMM невозможно, но его наличие в вашем компьютере (если оно присутствует) не является уязвимостью, которую злоумышленник захотел бы (или стал бы) атаковать.
Поскольку SMM не доступен операционной системе, невозможно проверить в Windows его наличие или правильное функционирование. Microsoft требует от поставщиков материнских плат предоставления надежной и защищенной платформы, где код SMM был тщательно проанализирован и защищен. Для этого поставщик должен подтвердить Windows через ACPI, что в SMM были реализованы определенные лучшие практики безопасности.
Для получения подробной информации смотрите статью Понимание таблицы смягчения безопасности SMM Windows (WSMT).
Ответ или решение
К сожалению, отключение или удаление Intel System Management Mode (SMM) в большинстве случаев невозможно из-за особенностей архитектуры BIOS и защищенной природы SMM. Для начала уточним, что SMM является важной частью архитектуры процессоров Intel, которая используется для выполнения критических системных задач, включая управление питанием и обработку аварийных условий.
-
Удаление Intel ME: Как вы уже знаете, вы можете использовать инструменты, такие как corna’s ME Cleaner, чтобы удалить Intel Management Engine (ME) из прошивки BIOS. Это улучшает безопасность вашей системы, но удаление Intel ME не влияет непосредственно на наличие и функционирование SMM.
-
Необходимость удаления SMM: На данный момент не существует инструментов, аналогичных ME Cleaner, которые могут отключить или удалить SMM. SMM является встроенным функционалом процессора, и его наличие не поддается модификации без соответствующих ключей от производителя. Если у вашего устройства есть SMM, то его удаление или отключение практически невозможно, и любые попытки вмешательства в его работу могут привести к неисправности системы.
-
Безопасность SMM: Хотя SMM может быть уязвимо к атакам, важно понимать основные механизмы доступа к SMM. Атака на SMM требует, чтобы злоумышленник уже имел контроль над системой в режиме ядра. Это значит, что для успешного вторжения в SMM вам необходимо сначала скомпрометировать операционную систему. К тому же, exploits, использующие SMM, не могут сохранять свои изменения после перезагрузки.
-
Аппаратные решения: Наилучшим способом обеспечить безопасность вашей системы от уязвимостей, связанных как с Intel ME, так и с SMM, является использование оборудования с открытой прошивкой. Например, системы на базе CoreBoot предлагают более надежные механизмы безопасности благодаря открытости своего кода. Производители, такие как System76 и Purism, продают такие устройства с предустановленным CoreBoot.
-
Дополнительные ресурсы:
Таким образом, вы не сможете отключить или удалить SMM, и для повышения уровня безопасности рекомендуется задействовать надежное оборудование с открытым исходным кодом.