2019. május 20., hétfő

Útvonal

Hírek » Processzor rovat

Nem dokumentált képesség nyújt adatlopási lehetőséget az Intel PCH-kban

  • (f)
  • (p)
Írta: | | Forrás: PROHARDVER!

A VISA lehetővé teszi a támadónak a legalacsonyabb szintű hozzáférést az Intel CPU-k által feldolgozott adatokhoz.

Az Intel Management Engine-jének problémáit leleplező Positive Technologies bejelentette, hogy egy olyan új funkciót találtak a modernebb Intel PCH-kban, vagyis a vállalat processzorihoz szánt vezérlőhidakban, amely lehetővé teszi a támadó számára a lehető legalacsonyabb szintű hozzáférést az Intel CPU-k által feldolgozott adatokhoz, így azok egyszerűen ellophatóvá válnak.

Hirdetés

Maxim Goryachy és Mark Ermolov szingapúri Black Hat konferencián részletezte, hogy van egy érdekes, VISA (Visualization of Internal Signals Architecture) nevű technológia az újabb Intel vezérlőhidat használó alaplapokon, amely egy teljes értékű logikai jelanalizátor. Ez lehetővé teszi a gyártók számára, hogy valós időben figyeljék meg a belső buszokon küldött elektronikus jeleket, aminek nyilván nagy haszna van a termék tesztelésénél. Maga a VISA azonban használható arra is, hogy buszokon közlekedő adatokat egy kártékony program kimentse. Ilyen lehet a webkamera által közvetített, vagy éppen a lenyomott billentyűkre vonatkozó információ. És ez lényegében az operációs rendszer szintje alatt történik, vagyis semmilyen biztonsági program nem tudja kiszűrni.

Szerencsére a VISA inaktív minden egyes forgalomba kerülő alaplapon, és talán emiatt nincs is dokumentálva, de kiderült, hogy viszonylag egyszerűen visszakapcsolható. Ehhez egy korábbi, INTEL-SA-00086 jelölésű sebezhetőséget kell kihasználni a Intel Management Engine rendszerén belül, amit ugyan az Intel befoltozott, de nem minden gyártópartner foglalkozott ezzel, így sok alaplapon és komplett rendszeren még mindig a sebezhetőséget tartalmazó firmware található. Ez ugye az iparág tipikus problémája, amikor egy biztonsági rés nem kezelhető az operációs rendszer oldaláról, akkor hiába csinálja meg a javítást a Santa Clara-i óriáscég, az a gyártópartnerek számára extra költség, és ezt nem mindenki vállalja be.

A Positive Technologies a demonstrációjában részletezte, hogy a VISA aktiválása után több belső buszról is lehet olvasni, vagyis lényegében adatokat lopni. Az egyetlen védekezési lehetőség, hogy ha felhasználó minden olyan ismert rést befoltoz, amelyen keresztül bekapcsolható a VISA. A fenti lehetőségen túl a Positive Technologies még három megoldást mutatott erre, vagyis nem olyan nehéz ezt aktiválni, mint amilyen nehéznek kellene lennie, figyelembe véve azt, hogy mekkora lehetőséget ad a támadók kezébe.

A felhasználók jelenleg annyit tehetnek, hogy az Intel Management Engine firmware-ét az INTEL-SA-00086 jelölésű sebezhetőség javítását tartalmazó verzióra cserélik. Ebben az adott alaplap vagy komplett PC gyártója köteles segíteni.

Gyártók, szolgáltatók

Hirdetés

Copyright © 2000-2019 PROHARDVER Informatikai Kft.