Неустранимая уязвимость обнаружена экспертами компании PositiveTechnologies в чипсетах Intel – как сказано в сообщении, ошибка угрожает рабочим станциям и правообладателям.
Ошибка, получившая обозначение CVE-2019-0090, содержится в коде, который хранится в области памяти чипсета, предназначенной только для чтения (ROM), устранить её невозможно. Уязвимость потенциально позволяет скомпрометировать ключи шифрования платформы и перехватить конфиденциальную информацию.
Intel поблагодарила экспертов Positive Technologies, обнаруживших уязвимость в подсистеме Intel CSME. Ошибка присутствует в большинстве чипсетов Intel, выпущенных за последние пять лет.
Как сказано в сообщении, эксплуатируя уязвимость, злоумышленник, имеющий непосредственный доступ к компьютеру, может извлечь корневой ключ платформы (chipset key), который записан в микросхеме, и получить доступ к зашифрованным этим ключом данным. Зафиксировать факт утечки ключа при этом невозможно. Имея корневой ключ, злоумышленник может не только расшифровывать данные, хранящиеся на компьютере-мишени, но и сделать так, чтобы другой компьютер в сети был виден как компьютер жертвы. Выявленная уязвимость угрожает безопасности банковских транзакций и технологиям Интернета вещей.
«Выявленная уязвимость похожа на недавно найденную ошибку в BootROM мобильных платформ Apple, но относится к системам Intel, — объясняет один из авторов исследования, эксперт Positive Technologies Марк Ермолов. — Обе уязвимости позволяют извлечь зашифрованные данные пользователей. В данном случае сценариев извлечения ключа достаточно много. Ключ можно снять с потерянного или украденного ноутбука для расшифровки загруженных с него данных. Перехватить ключ могут недобросовестный поставщик, специалист обсуживающей организации или сотрудник вашей компании — если они получили физический доступ к ПК. В некоторых случаях возможен удалённый перехват ключа, если злоумышленник в ходе многоступенчатой атаки получит локальный доступ к целевому ПК или производитель оборудования позволяет дистанционно обновлять прошивки внутренних устройств, таких как Intel Integrated Sensor Hub».
Уязвимость потенциально даёт возможность скомпрометировать распространенные технологии защиты информации, которые используют аппаратные ключи для шифрования, такие как DRM, firmware TPM, Intel Identity Protection. Например, злоумышленник может эксплуатировать уязвимость на своём ПК для обхода DRM-защиты контента и его нелегального копирования. Данная ошибка в ROM также позволяет организовать произвольное выполнение кода на нулевом уровне привилегий Intel CSME, и устранить эту ошибку с помощью обновления прошивки невозможно.
Напомним , что эксперт D-Russia.ru Вячеслав Володкович (Aerodisk) ранее допустил вероятность неслучайного происхождения неустранимых уязвимостей в коде микросхем Intel: «Многочисленные ошибки – такие, как Spectre, Meltdown, Fallout, ZombieLoad – в процессорах Intel …можно рассматривать и как «просто ошибки», и как преднамеренные лазейки».
Специалисты Intel рекомендуют пользователям устройств, использующих технологии Intel CSME, Intel SPS, Intel TXE, Intel DAL и Intel AMT, обратиться к производителю конкретного устройства или материнской платы, чтобы получить обновление микропрограммы или BIOS для устранения этой уязвимости. Обновлённые рекомендации для снижения уровня угроз, связанных с уязвимостью CVE-2019-0090, изложены на сайте Intel.
Учитывая невозможность фундаментального исправления данной проблемы путём внесения изменений в ROM чипсета, эксперты Positive Technologies рекомендуют отключить технологию шифрования носителей информации, использующую подсистему Intel CSME, или рассмотреть возможность замены парка компьютеров на ПК с процессорами Intel 10-й серии и выше. Важную роль приобретает и выявление возможных фактов компрометации инфраструктуры в ретроспективе с помощью систем анализа трафика.
Эксперты Positive Technologies исследуют подсистему Intel ME (CSME) на протяжении нескольких последних лет. В 2017 году на конференции Black Hat Europe Марк Ермолов и Максим Горячий рассказали об уязвимости в Intel Management Engine 11, которая открывает злоумышленникам доступ к большей части данных и процессов на устройстве.
В 2018 году в компьютерах Apple была закрыта уязвимость прошивки (CVE-2018-4251), найденная экспертами Positive Technologies.