인텔, 새로운 ME 버그 공개?

바쁘신 분들을 위한 요약

연구원들은 작년에 여러가지 ME 버그를 발견하였으며, 이제 두가지 이상의 위협이 존재합니다. 첫번째로, CVE-2018-3627 이라 불리는 놈은 인텔 기반 컴퓨터에서 임의의 코드를 실행 가능한 논리 버그입니다. 작년에 인텔 ME에서 비슷한 버그를 발견한 러시아의 보안회사인 포지티브 테크놀로지에 따르면, 새로운 버그는 더 쉽게 악용되어 위험하다고 하였습니다.

포지티브 테크놀로지는 인텔이 두번째로 밝힌 CVE-2018-3628 버그가 더 심각하다고 말하고 있습니다. 이것은 'ME의 AMT 프로세스에서 본격적인 원격 코드 실행' 을 가능하게 합니다. 또한, 작년에 이 회사가 발견한 CVE-2017-5712 와 다르게 공격자는 AMT 관리자계정을 필요로 하지 않습니다.

본문

새로운 스펙터급 CPU결함과 버그로 인해 회사와 다른 연구원들이 자사의 관리엔진(ME) 펌웨어를 찾는 등 버그를 해결하기 위해 인텔은 휴식을 취하는 것처럼 보이지 않습니다. 현재 인텔은 2개의 ME 버그를 공개하였으며, 그 중 하나는 공격을 당하는 PC에서 원격 코드 실행을 허용하게 합니다.

인텔 ME 위협

지난 2년동안 보안 연구원들은 CPU 테스트에 상당한 관심을 보여 왔습니다. 인텔이 가장 보편적인 프로세서 제조업체이기 때문에 인텔 프로세서는 연구원 대부분의 기본 연구 대상이 되었습니다.(이렇다고 AMD 프로세서는 완전히 무시한 것은 아닙니다.) 우리는 수십년 동안 인텔 프로세서에 존재하였던 버그에 대해 알아왔지만, 아무도 귀찮은 시선으로 보려 하지 않았습니다.

아마 모든 것이 시작된 것은, 2008년 이후 생산된 인텔 프로세서에 탑재되어 있는 인텔 ME일 것입니다. 인텔 ME는 백도어를 숨기고 모든 운영체제 보안 보호를 우회할 가능성이 높으며, 이것으로 인하여 개인정보 보호에 관심이 많은 PC사용자와 (구글 직원을 포함한)조직 및 보안 연구원들을 위협하는 '블랙 박스' 성격을 가지고 있기 때문에 논쟁의 여지가 있었습니다.

인텔은 ME와 액티브 관리 기술(AMT) 펌웨어를 엔터프라이즈 기능으로 판매하여 IT관리자의 업무를 네트워크 내에서 원격으로 손쉽게 작동시킬 수 있기 때문에 여러모로 편리한 기술입니다. 그러나, 회사는 ME의 기능에 대해 투명하게 잘 수행하지는 못했습니다. 칩 회사가 할리우드 및 기타 콘텐츠 회사와 체결한 계약의 일환으로 DRM(Digital Rights Management)을 시행하기 위해 이것을 사용하고 있기 때문에 특정 의도가 있다고 믿는 사람들도 있습니다. DRM 이 우회되고 해적질될 콘텐츠가 있는 곳에서는 전세계 어디서든 한대의 PC만 해킹이 가능합니다. 하지만, 이 문제는 이러한 문제와 요점이 달라 보입니다.

새해, 새로운 인텔 ME 버그

연구원들은 작년에 여러가지 ME버그를 발견하였으며, 지금은 두가지가 추가되었습니다. 첫 번째 버그인 CVE-2018-3627 은 인텔 기반 컴퓨터에서 임의적으로 코드를 실행할 수 있는 논리 버그입니다. 작년에 인텔 ME버그와 유사한 버그를 발견한 러시아 보안회사인 포지티브 테크놀로지(Positive Technologies)에 따르면 새로운 버그는 더 쉽게 악용될 수 있어 위험하다고 합니다. 공격자는 시스템에서 로컬 엑세스 권한만 있다면 인텔 ME 를 이용하여 시스템 공격이 가능합니다.

포지티브 테크놀로지는 인텔이 두번째로 밝힌 CVE-2018-3628 이 더 심각하다고 밝혔습니다. 이 취약점은 'ME의 AMT 프로세스에서 본격적인 스격 코드 실행' 을 가능하게 합니다. 또한, 작년에 발견된 CVE-2017-5712 와 다르게 공격자는 AMT 관리자 권한을 필요로 하지 않습니다. 인텔은 위 취약점을 허가없이 원격코드 실행을 허용하는 'HTTP 처리기의 버퍼 오버플로우' 라고 불렀으며, 과거에 인텔 ME가 사용할 수 있었고 많은 보안 전문가가 우려하는 것은, 작년에 다른 연구원이 발견한 ME 결함과 유사하다는 것입니다.

이 버그에 해당하는 프로세서들

첫 번째 버그인 CVE-2018-3627 은 모든 인텔 6세대 스카이레이크 프로세서에 영향을 미칩니다. 이는 소비자용 프로세서 및 엔터프라이즈, 서버용, 그리고 사물인터넷(IoT)에 영향을 미친다는 것을 의미합니다. 두번째 버그인 CVE-2018-3628 은 보다 광범위한 인텔 프로세서에 영향을 끼칩니다.

- 인텔 코어2 듀오 vPro 및 인텔 센트리노(Centrino)2 vPro

- 1~8세대의 모든 인텔 코어 프로세서 제품군

- 인텔 제온 프로세서 E3-1200 v5 및 v6 제품군 (Greenlow)

- 인텔 제온 확장형 프로세서 제품군 (Purley)

- 인텔 제온 W 프로세서 제품군 (Basin Falls)

인텔은 CVE-2018-3628 버그의 이용은 동일한 서브넷 환경에서만 가능하다고 하였습니다. (최근 배웠듯이, 이는 공격자에게 큰 장애물이 아닙니다.) 그러나 포지티브 테크놀로지 연구원들은 앞으로 몇개월 내에 이것을 테스트할 계획입니다. 하지만 인텔은 아직까지도 스펙터급 버그를 걱정하는 중입니다.

8세대 코어 프로세서 '치명적 보안 결함' 발견.. 인텔, 펌웨어 업데이트 권고

미국서 인텔 프로세서의 취약점을 이용한 ATM 원격 공격 등장

인텔 CPU 보안 결함 발견? 보안패치하면 성능 저하? (멜트다운 버그)

인텔에 더욱 치명적인 보안 결함, [AMT]

※ 본 글은 필자가 직접 작성한 것이 아닌, Tom's Hardware의 원본을 해석한 것입니다.

※ 따라서, 번역에 오류가 있을 수 있고, 이 글의 모든 권리는 필자가 아닌 Tom's Hardware 에 있음을 알립니다.

※ 자료 출처: Tom's Hardware

ⓒCopyLight 2017. Tom's Hardware all rights reserved.

ⓒCopyLight 2017. Tom's Hardware all pictures cannot be copied without permission.

<끝>

하단의 '공감' 버튼은 저에게 큰 도움이 됩니다.

"wjdqh6544의 자료창고" 를 검색~!