英特尔芯片新漏洞暴露计算机上所有数据

安全研究人员报告称,透过流经某些计算机系统主板的信号,黑客可利用英特尔VISA芯片漏洞窥探主机数据。

英特尔所谓 “内部信号可视化架构” (VISA)既可以理解为一项功能,也可以看做一个漏洞。该架构存在于英特尔计算机系统的平台控制单元(PCH),受英特尔管理引擎(IME)控制。VISA技术旨在为调试计算机硬件(尤其是计算机系统主板)提供灵活的信号分析处理器。

控制VISA的英特尔管理引擎就是个小型低功耗嵌入式计算机,加载修改版MINIX操作系统。尽管英特尔未对IME进行过多的宣传,但其存在早几年前便已为人所知。VISA技术则是去年由Positive Technologies的安全研究人员发现的。

英特尔确实有关于VISA技术的文档,但受保密协议的约束,其访问是严格受控的。不过,Positive Technologies 的两名研究人员报告称发现了VISA技术的功能,并找到了启用该功能的方法,可以用这些数据发现其宿主计算机系统的内部机制。

亚洲黑帽大会上披露

3月28日,研究人员在亚洲黑帽大会上披露了自己的发现,声称他们之前发现的可利用来自IME内执行未签名代码的漏洞(INTEL-SA-00086),同样可以用于访问VISA硬件。

商用计算机系统上VISA功能通常是禁用的,但 Positive Technologies团队可利用IME来启用VISA功能。一旦得以访问,便能探知PCH细节,也就可以从计算机中找到那些数据,并可以读取外围设备数据。基本上,该漏洞能令黑客获得对计算机的完全访问权。

作为回应,英特尔宣称,2017年对IME的一次更新已经修复了该漏洞。但研究人员表示,如果将该固件降级至早期版本,仍能访问VISA硬件及其能读取的数据。

面对质疑,研究人员向媒体透露,该漏洞仅影响第6代及以后的英特尔处理器,包括Skylake和 Kaby Lake,且将来的英特尔处理器中仍将存在该漏洞。

这是个调试技术,但仅供内部使用,不向公众开放。

或可帮助检测”预测执行攻击”

除用于在生产环境中测试之外,研究人员还披露了VISA技术存在的一个基本原因。x86研究人员会认为该技术很有用,但最重要的是,该技术提供了检测预测执行攻击(如熔断和幽灵)的一种方法。

研究预测执行时的一个主要问题是获取硬件反馈。该技术正好提供了观测CPU/SoC内部状态和确认假设的办法。

考虑到预测执行漏洞不断涌现,漏洞严重性也在不断增长,能够检测此类攻击的技术无疑是抵御预测执行攻击的一大利器。

同时,该技术也有助于开发防止此类攻击的工具,这种防护工具自然是需要知道VISA技术运作机制和怎样访问VISA数据的。研究人员在黑帽大会演讲中提供了这一信息,可以在演示文档中查看他们在这一过程中用到的XML。

对醉心技术的极客来说,演示文档非常值得一读。英特尔下一步估计就是找到防止降级固件的方法,以期至少堵上该漏洞可被利用的几种方法。

访问VISA技术需要物理接触

至少目前为止,访问VISA技术必须要能物理接触到目标计算机。一旦能接触到目标计算机,攻击者所要做的就只是连接USB端口了。研究人员在黑帽大会上演示了具体操作方法。

但有其他研究表明可以通过网络连接访问IME也是可行的。如果真是这样,那物理访问要求也就不再必需,可以远程执行此类攻击了。

也就是说,目前为止,物理安全措施仍然非常重要。能实际接触到计算机的攻击者可用各种方式抽取用户数据,方法多到超出你的想象。但网络检测同样重要,尤其是要监视存放关键数据的计算机所在的网段,在攻击发生之初就发现入侵,而不是等攻击者已经在抽取数据了才发现。

同时,希望英特尔能找到从芯片和系统主板走下生产线之时就永久禁用不必要功能的方法。

INTEL-SA-00086漏洞文档:

https://www.blackhat.com/docs/eu-17/materials/eu-17-Goryachy-How-To-Hack-A-Turned-Off-Computer-Or-Running-Unsigned-Code-In-Intel-Management-Engine-wp.pdf

黑帽大会演讲链接:

https://www.blackhat.com/asia-19/briefings/schedule/index.html#intel-visa-through-the-rabbit-hole-13513

研究人员的演示文档:

https://i.blackhat.com/asia-19/Thu-March-28/bh-asia-Goryachy-Ermolov-Intel-Visa-Through-the-Rabbit-Hole.pdf

上一篇:主动监控 VS. 被动监控:不再是非此即彼的选项

下一篇:欺骗防御产品评测: 让虚假资产鲜活可信