英特爾芯片新漏洞暴露計算機上所有數據
責編:gltian |2019-04-10 15:03:07安全研究人員報告稱,透過流經某些計算機系統主板的信號,黑客可利用英特爾VISA芯片漏洞窺探主機數據。
英特爾所謂 “內部信號可視化架構” (VISA)既可以理解為一項功能,也可以看做一個漏洞。該架構存在于英特爾計算機系統的平臺控制單元(PCH),受英特爾管理引擎(IME)控制。VISA技術旨在為調試計算機硬件(尤其是計算機系統主板)提供靈活的信號分析處理器。
控制VISA的英特爾管理引擎就是個小型低功耗嵌入式計算機,加載修改版MINIX操作系統。盡管英特爾未對IME進行過多的宣傳,但其存在早幾年前便已為人所知。VISA技術則是去年由Positive Technologies的安全研究人員發現的。
英特爾確實有關于VISA技術的文檔,但受保密協議的約束,其訪問是嚴格受控的。不過,Positive Technologies 的兩名研究人員報告稱發現了VISA技術的功能,并找到了啟用該功能的方法,可以用這些數據發現其宿主計算機系統的內部機制。
亞洲黑帽大會上披露
3月28日,研究人員在亞洲黑帽大會上披露了自己的發現,聲稱他們之前發現的可利用來自IME內執行未簽名代碼的漏洞(INTEL-SA-00086),同樣可以用于訪問VISA硬件。
商用計算機系統上VISA功能通常是禁用的,但 Positive Technologies團隊可利用IME來啟用VISA功能。一旦得以訪問,便能探知PCH細節,也就可以從計算機中找到那些數據,并可以讀取外圍設備數據。基本上,該漏洞能令黑客獲得對計算機的完全訪問權。
作為回應,英特爾宣稱,2017年對IME的一次更新已經修復了該漏洞。但研究人員表示,如果將該固件降級至早期版本,仍能訪問VISA硬件及其能讀取的數據。
面對質疑,研究人員向媒體透露,該漏洞僅影響第6代及以后的英特爾處理器,包括Skylake和 Kaby Lake,且將來的英特爾處理器中仍將存在該漏洞。
這是個調試技術,但僅供內部使用,不向公眾開放。
或可幫助檢測”預測執行攻擊”
除用于在生產環境中測試之外,研究人員還披露了VISA技術存在的一個基本原因。x86研究人員會認為該技術很有用,但最重要的是,該技術提供了檢測預測執行攻擊(如熔斷和幽靈)的一種方法。
研究預測執行時的一個主要問題是獲取硬件反饋。該技術正好提供了觀測CPU/SoC內部狀態和確認假設的辦法。
考慮到預測執行漏洞不斷涌現,漏洞嚴重性也在不斷增長,能夠檢測此類攻擊的技術無疑是抵御預測執行攻擊的一大利器。
同時,該技術也有助于開發防止此類攻擊的工具,這種防護工具自然是需要知道VISA技術運作機制和怎樣訪問VISA數據的。研究人員在黑帽大會演講中提供了這一信息,可以在演示文檔中查看他們在這一過程中用到的XML。
對醉心技術的極客來說,演示文檔非常值得一讀。英特爾下一步估計就是找到防止降級固件的方法,以期至少堵上該漏洞可被利用的幾種方法。
訪問VISA技術需要物理接觸
至少目前為止,訪問VISA技術必須要能物理接觸到目標計算機。一旦能接觸到目標計算機,攻擊者所要做的就只是連接USB端口了。研究人員在黑帽大會上演示了具體操作方法。
但有其他研究表明可以通過網絡連接訪問IME也是可行的。如果真是這樣,那物理訪問要求也就不再必需,可以遠程執行此類攻擊了。
也就是說,目前為止,物理安全措施仍然非常重要。能實際接觸到計算機的攻擊者可用各種方式抽取用戶數據,方法多到超出你的想象。但網絡檢測同樣重要,尤其是要監視存放關鍵數據的計算機所在的網段,在攻擊發生之初就發現入侵,而不是等攻擊者已經在抽取數據了才發現。
同時,希望英特爾能找到從芯片和系統主板走下生產線之時就永久禁用不必要功能的方法。
INTEL-SA-00086漏洞文檔:
黑帽大會演講鏈接:
研究人員的演示文檔: