What Is Intel Management Engine Components And How To Disable It
In this post, we are going to discuss what is Intel Management Engine and its components, and whether our PC needs it or not.
What is Intel Management Engine#
The Intel Management Engine is an embedded microcontroller that comes inside some of Intel’s chipsets. It runs a very lightweight microkernel MINIX-based operating system which adds its own functionality and support for Intel processor-based computers. This engine is powered by the CMOS battery on the motherboard, therefore it is always powered on, even when many of the other system components are asleep, including the Power Supply Unit (PSU). This allows the engine to respond to Out Of Box (OOB) commands from the IT management console without having to wake up the rest of the system. The Intel Management Engine loads its code from system flash memory during system initialization. As a result, the Engine can run before the main operating system. The Intel Management Engine has access to secured portions of system memory for storing run-time data. This engine provides several different functions, such as monitoring Intel’s hardware installed on your PC, or reporting updates or issues with drives, and other useful information. There are a few benefits of the Intel Management Engine, such as the following:
It is independent of the OS power state, including many of the other system resources.It can respond to OOB commands from IT administrators without having to wake up the other system components.It enables the Windows OS to communicate with the engine directly via the HECI bus.The engine can detect when the computer is stolen/lost and secure the data or prevent the OS from loading through its anti-theft protection technology.
That said, this engine runs processes on your computer to perform its designation function, which you may come across under the name of “Intel Management Engine Components.” These often take up significant space on your hard drive and can take up other resources as well, like RAM, processor, and even the GPU. In that case, you can safely disable Intel Management Engine Components. However, since it is impossible to disable it completely, you can disable its components to save your system’s resources.
Disable Intel Active Management Technology (AMT) from BIOS#
Intel’s Active Management Technology (AMT) is a feature that some devices have (mostly servers) used to make the device manageable remotely. This is one of the features that utilize Intel Management Engine causing it to consume more system resources. However, if you do not use Intel AMT, you simply disable it from the computer’s BIOS. Here is how: Note: If you do not find the option, it is likely that your computer does not support it. Once disabled, boot normally into the Windows operating system and then check again if Intel Management Engine Components is still using your system resources. If you find that the problem persists, or the option to disable Intel AMT was missing in BIOS, you can then try disabling the Intel Management Engine Interface driver.
Disable Intel Management Engine Interface Driver#
The Intel Management Engine Interface driver helps the operating system communicate with the Intel Management Engine firmware. If you remove the driver, there won’t be any communication between the two. That said, we only recommend that you remove this driver if you do not use Intel AMT. Follow these steps to disable the Intel Management Engine Interface driver: Disabling the interface driver would not harm your computer and can be re-enabled at any point in time. If prompted with a warning, click Yes to proceed with disabling. After disabling the Intel Management Engine Interface driver, check to see if Intel Management Engine Components is still consuming significant system resources. If it is, then you can try to update the driver instead of disabling it.
Install/Update Intel Management Engine Driver#
The Intel Management Engine driver is not universal and each device has a customized version of it. Therefore, Intel does not provide this driver for us to install. Instead, this driver is provided by the computer manufacturer. That said, Intel has accumulated a list of the support website for different OEMs from where you can download the Management Engine driver for your respective devices. You can open this list by clicking on the following link: List of computer manufacturers and their driver’s websitesIntel’s list of OEMs From here, open the “Driver & Software” website for your PC manufacturer and then download the latest “Intel Management Engine Driver” from there. Also see:
What Are Chipset Drivers And Why You Should Update ThemWhat Is DNS-Over-HTTPS And How To Enable It On Your Device (Or Browser)What Is Network Stack In UEFI/BIOSWhat Is BitLocker Recovery Key and How to Find ItWhat Is Tamper Protection In Windows 11 And How To Disable It
How to disable Intel ME — the hidden computer inside your computer that might be a secret backdoor
Hidden inside Intel CPU's is a whole other computer system, the Intel Management Engine, or Intel ME, that watches over the computer. It is running an embedded Minix operating system, and has massive privileges over everything running inside the computers. Some fear this hidden computer is a hidden backdoor inside Intel CPU's. This video claims to show how to disable the Intel ME computer, but the process is absolutely not for the faint of heart.
The process involves removing the battery for the clock chip, then removing the BIOS Flash ROM. You place the chip in a breadboard, and then connect it to a Raspberry Pi. After running a piece of software on the Raspberry Pi, and supposedly it disables the Intel Management Engine.
Как бороться с хардварным трояном от Intel (Intel Me)
Некоторые мысли и ссылки на этот счет. Может где-то и на уровне капитана очевидность, но все-таки. Интересно мнение на этот счет.
Почему надо бороться? Ответ: потому что эта полностью закрытая аппаратная подсистема на материнской плате во всех чипсетах Intel уже примерно года с 2006. Имеет абсолютно прозрачный доступ ко всей памяти компьютера, к сетевой плате, может работать при выключенном питании (но включенном в элекросеть компе). Прошивка закрыта, от изменений защищена sha256 и т.д. Важно, что подсистема в том или ином виде присутствует даже там, где официально ее нет.
Формально, это как бы полезная подсистема, которая позволяет пользователю (если все правильно настроить) удаленно управлять своим компьютером, используя аппаратные возможности: то есть, независимо от ОС. Однако кто еще кроме пользователя может? 🙂
То есть, это некое НЕЧТО, которое в принципе может делать что угодно в вашем компьютере.
Ссылки (так получилось, что на хабр):
К сожалению, методы отключения не являются гарантированными. Требуют модификации прошивки, что в системах с новыми процессорами затруднено.
Собственно мысли по нейтрализации
Если допустить, что отключить троянца от Intel или AMD (там тоже есть аналогичное — AMD PSP — Platform Security Processor) не удается, то что можно сделать для затрудения его работы без модификаций прошивок? Конечно, лучше всего не использовать троянское железо, но что поделать, если это слишком сложно.
0) Использовать OpenSource операционные системы. Они если и не защищают от этих технологий, то по крайней мере, и не помогают специально, чего вполне можно ожидать от винды или мака.
1) Шифрование диска или хотя бы отдельных файлов/каталогов.
Эта мера помешает автоматически дистанционно читать или модифицировать содержимое винчестера. Так как хардтроян работает вне операционной системы, он столкнется с невозможностью напрямую прочитать информацию с диска. Хотя в принципе, от него можно ожидать и извлечения из памяти ключей, но это уже более сложный уровень и например, небольшая модификация алгоритмов может обломать. Хотя с просто чтением из памяти ничего нельзя поделать. Во всяком случае мне неизвестно, чтобы Linux или BSD могли работать с постоянно зашифрованной RAM. Однако, если бы это было реализовано, оно сильно бы подгадило хардтроянцам.
2) Перекрыть на внешнем файрволе tcp порты 5900, 16992, 16993, 16994, 16995.
Эти порты штатно используются для работы с Intel Me. Не то чтобы следовало всерьез рассчитывать на нейтрализацию таким простым способом, но все же. По крайней мере, это может помочь, если система как бы штатно работает, но об этом владелей забыл или не знал, например, что-то по дефолту включил и т.п.
3) Использовать не-интеловскую сетевую карту.
Тоже не Бог весть чего дает, но как и в случае с OpenSource операционками хотя бы можно ожидать, что дополнительных возможностей не будет. В любом случае, чем более нестандартная кофигурация, тем сложнее работать хардтрояну. Так что, не лишнее и чего-нибудь навроде сетевого соединения через Firewire устроить.
4) Сетевые соединения в интернет или куда-то еще делать исключительно через VPN (или другой защищенный коннект) на сервер-файрвол с неинтеловской архитектурой или старый до 2006-го года комп.
Смысл в том, что хардтроян может мониторить трафик (например, для своей активации) или передавать что-то независимо от ОС, но ему затруднительно незаметно влезть прямо в защищенный поток данных. В то же время, если на файрволе связь с защищаемым компьютером исключительно через VPN это помешает несанкционированной связи с внешним миром. Более того, попытки такой связи можно будет детектировать. Даже если с какого-то внешнего ресурса что-то придет внутри пользовательских данных для работы с Intel Me (например, внутри якобы обычной картинки), туннель невозможно будет установить прозрачно для ОС. Во всяком случае без наличия уязвимостей в ней.
Эксперты Positive Technologies нашли способ частичного отключения Intel ME
Рекомендуем почитать: 
Xakep #293. MikroTik Nightmare
Специалисты компании Positive Technologies рассказали, что в ходе изучения Intel Management Engine (ME) 11-й версии ими был обнаружен недокументированный режим, который позволяет частично отключить функциональность Intel ME после инициализации оборудования и запуска основного процессора. Первую статью из цикла, посвященного внутреннему устройству и особенностям работы Intel ME, можно найти в блоге компании.
Исследователи напоминают, что Intel Management Engine — это закрытая технология, которая представляет собой интегрированный в микросхему Platform Controller Hub (PCH) микроконтроллер с набором встроенных периферийных устройств. Именно через PCH проходит почти все общение процессора с внешними устройствами, то есть Intel ME имеет доступ практически ко всем данным на компьютере и возможность исполнения стороннего кода, что в теории позволяет полностью скомпрометировать платформу.
Intel ME интересует и беспокоит специалистов уже давно, но в последнее время их интерес еще возрос. Одной из причин тому стала уязвимость, недавно обнаруженная в Intel Active Management Technology, плюс сказался переход данной подсистемы на новую аппаратную (x86) и программную (доработанный MINIX в качестве операционной системы) архитектуры. Применение платформы x86 позволяет использовать всю мощь средств анализа бинарного кода, что ранее было затруднительно, так как до 11-й версии использовалось ядро с малораспространенной системой команд — ARC.
Исследователи Positive Technologies отмечают, что анализ Intel ME 11-й версии был затруднен, так как исполняемые модули упакованы кодом Хаффмана с неизвестными таблицами. Впрочем, специалистам все же удалось их восстановить, и утилита для распаковки образов была опубликована на GitHub.
Стоит отметить, что публикация экспертов Positive Technologies начинается с важного замечания:
«Сразу огорчим читателя — полностью выключить ME на современных компьютерах невозможно. Это связано прежде всего с тем, что именно эта технология отвечает за инициализацию, управление энергопотреблением и запуск основного процессора. Сложности добавляет и тот факт, что часть кода “жестко прошита” внутри микросхемы PCH, которая выполняет функции южного моста на современных материнских платах.
Основным средством энтузиастов, которые «борются» с данной технологией, является удаление всего «лишнего» из образа flash-памяти при сохранении работоспособности компьютера. Но сделать это не так просто, так как, если встроенный в PCH код не найдет во flash-памяти модули ME или определит, что они повреждены, система запущена не будет.
Уже несколько лет в сети развивается проект me_cleaner, в рамках которого доступна специальная утилита, позволяющая удалить большую часть образа и оставить только жизненно необходимые для основной системы компоненты. Но даже если система запустилась, радоваться рано — приблизительно через 30 минут может произойти автоматическое отключение, так как при некоторых сбоях ME переходит в Recovery-режим, в котором не функционирует больше некоторого фиксированного времени. В итоге процесс очистки усложняется. Например, до 11-й версии удавалось уменьшить размер образа до 90 KБ, но в 11-й — уже только до 650 КБ».
Что в таком случае удалось отключить, если Intel ME отключить нельзя? Исследователи пишут, что компания Intel позволяет производителям материнских плат задать небольшое количество параметров ME. Для этого существует специальный набор программного обеспечения, в который входят такие утилиты, как Flash Image Tool (FIT) для настройки параметров ME и Flash Programming Tool (FPT), реализующая поддержку программирования flash-памяти напрямую через встроенный SPI-контроллер. Хотя эти утилиты недоступны конечному пользователю, их без труда можно найти в интернете. С их помощью можно извлечь большое количество файлов формата XML, изучение которых позволяет узнать многое о структуре прошивки ME и описании PCH strap (специальных конфигурационных битов для различных подсистем, интегрированных в микросхему PCH).
Именно таким образом специалисты обнаружили поле «reserve_hap», напротив которого имелся комментарий — High Assurance Platform (HAP) enable. Обычный поиск в Google позволил понять, что такое название носит программа по созданию доверительных платформ, связанная с Агентством национальной безопасности (АНБ) США. Презентацию с описанием этой программы можно найти здесь.
«Нашей первой мыслью было поставить этот бит и посмотреть, что будет. Это может сделать любой желающий, если у него есть SPI-программатор или доступ в Flash Descriptor (на многих материнских платах некорректно выставлены права доступа к регионам flash-памяти)», — признаются исследователи.
Как выяснилось, после загрузки платформы утилита meinfo сообщает странный статус: Alt Disable Mode. Беглые проверки показали, что ME не отвечает на команды и никак не реагирует на воздействия из операционной системы. Проведенный после детальный анализ позволил сделать следующие выводы:
«Мы нашли недокументированный PCH strap, который позволяет перевести Intel ME в режим отключения основного функционала на ранней стадии. Хотя физическое удаление модулей из образа с сохранением работоспособности неявно доказывает, что этот режим производит отключение ME, бинарный анализ не оставляет поводов для сомнений.
C большой долей уверенности можно сказать, что выйти из этого режима Intel ME уже не в состоянии, так как в модулях RBE, KERNEL и SYSLIB не найдено функционала, который позволял бы это осуществлять. Также мы считаем, что ROM, интегрированный в PCH, практически не отличается от ROMB, в котором тоже не найдено ничего похожего. Таким образом, HAP позволит защититься от уязвимостей, присутствующих во всех модулях, кроме RBE, KERNEL, SYSLIB, ROM и BUP, но, к сожалению, от эксплуатации ошибок на более ранних этапах этот режим не предохранит».
Статус ME после активации HAP-бита
Специалисты Positive Technologies сообщили о своем исследовании представителям Intel, и те подтвердили, что недокументированный режим связан с правительственной программой High Assurance Platform и был добавлен по просьбам ряда производителей оборудования. Недокументированность режима объясняется тем, что он прошел ограничение количество циклов валидации и пока не поддерживается официально.
Бит активации режима HAP
«Мы полагаем, что данный механизм — удовлетворение обычной просьбы любой правительственной службы, которая хочет уменьшить вероятность утечки по побочным каналам. Но остается главный вопрос: как HAP влияет на функционирование Boot Guard? Из-за закрытости этой технологии ответить на этот вопрос пока не представляется возможным, но мы надеемся, что в скором будущем нам это удастся», — резюмируют исследователи.