Сотрудники Positive Technologies выпустили отчет, который показал неустранимую уязвимость Intel Converged Security and Management Engine (CSME) в чипах Intel. Эта уязвимость существует в каждом кремнии выпущенном Intel за последние 5 лет. Intel CSME представляет собой основу для технологий аппаратного обеспечения Intel всех видов и использует EPID (Enhanced Privacy ID), который обеспечивает безопасные транзакции. EPID позволяет безопасно работать с устройствами Internet of Things, отправлять деньги в банк, покупать вещи в интернет-магазинах и т.д.

Чип TPM (Trusted Platform Module) может хранить ключи для безопасных транзакций, а т.к. не все устройства имеют чип TPM система Intel CSME позволяет хранить ключи в прошивке без необходимости использования аппаратного чипа TPM. Хорошая новость заключается в том, что зашифрованный ключ набора микросхем находится в одноразовой программируемой памяти (OTP) и злоумышленнику необходимо сначала извлечь аппаратный ключ, используемый для шифрования ключа набора микросхем внутри SKS (Secure Key Storage).

Intel знала об этой уязвимости и выпустила предупреждение в мае 2019 года, но последний отчет Positive Technologies расширяет возможные опасности, которые были раскрыты. Intel сделала дополнительное заявление - "Intel была уведомлена об уязвимости, которая может повлиять на механизм управления конвергентной безопасностью Intel, в котором неавторизованный пользователь со специализированным аппаратным и физическим доступом может выполнять произвольный код в подсистеме Intel CSME для определенных продуктов Intel". Для получения дополнительной информации Intel указала на консультативное руководство Intel-SA-00213.

Лучший совет Intel на данный момент - не теряйте свой ноутбук... и скрестите пальцы, чтобы быстрее был создан новый долговременный элемент безопасности, прежде чем "полный хаос" поразит нас всех.