我已使用 corna 的工具重新刷新 BIOS,成功从固件中删除了 Intel ME:
但是我仍然担心 SMM。Intel ME 和 AMT 漏洞非常严重,被归类为 ring -3,但是 SMM 模块也存在大量漏洞和可能的 rootkit,被归类为 ring -2 漏洞。
我也想删除或完全禁用 SMM 模块。这是一台 Acer-Aspire 笔记本电脑,上面装有 Insyde BIOS。
我不知道移除 ME 系统对 SMM 模块的影响有多大,我是否也需要移除 SMM?有可能吗?如果可以,请告诉我是否有其他类似 corna 的 ME 工具也可以移除 SMM。
答案1
最好的解决方案是购买你信任的硬件。主要的例子是核心启动. 有系统集成商销售基于 CoreBoot 的计算机。
如果您从 System76 或 Purism 购买,您就是在支持那些构建免费和开放固件的人们,因此您不必走上您正在走的道路。
补充阅读:
答案2
SMM 通过 SMI(系统管理中断)进入,其调用方式如下:
- 主板硬件或芯片组通过处理器芯片的指定引脚 SMI# 发出信号。此信号可以是独立事件。
- 软件 SMI 由系统软件通过对主板逻辑认为特殊的位置(端口 0B2h 是公共的)的 I/O 访问触发。
- 对固件请求处理器芯片对其执行操作的位置进行 I/O 写入。
这意味着触发 SMM 是主板功能,因此取决于主板固件是否启用。主板固件本身受到数字保护,不会被修改。SMM 并不是 英特尔管理引擎 (ME) 功能。
触发的 SMM 代码是 BIOS 的一部分,如果没有制造商的数字密钥,BIOS 本身就无法修改。但是,可以通过将 SMI 中断地址更改为指向攻击者引入的代码来破坏 SMM。
所有这些操作都需要攻击者在内核模式下操作,以破坏 SMI 地址和 SMM 代码,并且确实存在漏洞,正如您上面提到的那样。然而,除了这种漏洞带来的智力满足感之外,它的实用性值得怀疑:
- 任何 SMM 漏洞都无法在重启后继续存在
- 破坏 SMM 需要攻击者在内核空间进行操作,因此需要控制计算机
- SMI 中断不被 Windows 调用,因此颠覆它是没用的。
我认为禁用或停用 SMM 是不可能的,但它在您的计算机中的存在(如果存在)并不是攻击者需要(或费心)攻击的漏洞。
由于 SMM 对操作系统不透明,因此无法在 Windows 中测试其存在或正确功能。Microsoft 要求主板供应商提供一个强大且安全的平台,其中 SMM 代码经过仔细分析和保护。为此,供应商必须通过 ACPI 向 Windows 确认已在 SMM 中实施某些安全最佳实践。
详情请参阅文章 了解 Windows SMM 安全缓解表 (WSMT)。