Изследователите откриват и злоупотребяват с нова недокументирана функция в чипсетите на Intel

  • Oct 31, 2023

Изследователите откриват нова технология за отстраняване на грешки на Intel VISA (Visualization of Internal Signals Architecture).

Intel CPU

На конференцията за сигурност Black Hat Asia 2019 изследователи по сигурността от Positive Technologies разкриха съществуването на неизвестна досега и недокументирана функция в чипсетите на Intel.

Наречен Intel Visualization of Internal Signals Architecture (Intel VISA), изследователите на Positive Technologies Максим Горячи и Марк Ермолов каза, че това е нова помощна програма, включена в съвременните чипсети на Intel, за да помогне при тестване и отстраняване на грешки в производството линии.

VISA е включена в чипсетите Platform Controller Hub (PCH), част от съвременните процесори на Intel, и работи като пълноправен логически анализатор на сигнали.

Изображение: Wikimedia Commons

Според двамата изследователи VISA прихваща електронни сигнали, изпратени от вътрешни шини и периферни устройства (дисплей, клавиатура и уеб камера) към PCH – и по-късно основния процесор.

VISA разкрива всички данни на компютъра

Неоторизиран достъп до функцията VISA би позволил на заплаха да прихване данни от паметта на компютъра и да създаде шпионски софтуер, който работи на най-ниското възможно ниво.

Но въпреки изключително натрапчивия си характер, много малко се знае за тази нова технология. Горячи и Ермолов казаха, че документацията на VISA е предмет на споразумение за неразкриване и не е достъпна за широката публика.

Обикновено тази комбинация от секретност и сигурна настройка по подразбиране трябва да предпази потребителите на Intel от възможни атаки и злоупотреби.

Въпреки това, двамата изследователи казаха, че са открили няколко метода за активиране на VISA и злоупотреба с нея, за да надушват данни, които преминават през процесора, и дори чрез тайния Intel Management Engine (ME), който се намира в PCH след пускането на процесорите Nehalem и 5-Series чипсети.

Intel казва, че е безопасно. Изследователите не са съгласни.

Goryachy и Ermolov казаха, че тяхната техника не изисква хардуерни модификации на дънната платка на компютъра и никакво специфично оборудване за извършване.

Най-простият метод се състои в използването на уязвимостите, описани подробно в Intel Intel-SA-00086 съвети за сигурност, за да поемете контрола над Intel Management Engine и да активирате VISA по този начин.

„Проблемът с Intel VISA, както беше обсъден в BlackHat Asia, разчита на физически достъп и смекчена преди това уязвимост, разгледана в INTEL-SA-00086 на 20 ноември 2017 г.“, каза говорител на Intel ZDNet вчера. „Клиентите, които са приложили тези смекчаващи мерки, са защитени от известни вектори.“

Въпреки това, в имейл до ZDNet, двамата изследователи казаха, че поправките на Intel-SA-00086 не са достатъчни, тъй като фърмуерът на Intel може да бъде понижен до уязвими версии, където нападателите могат да превземат Intel ME и по-късно да активират VISA.

Освен това изследователите казаха, че има три други начина за активиране на Intel VISA, които не зависят от тези уязвимости, методи, които ще станат публични, когато организаторите на Black Hat публикуват дуо презентационни слайдове в следващите дни.

„Тези уязвимости са само един от начините за активиране на Intel VISA, в нашия разговор ние дадохме няколко други начина за изпълнение на тази задача“, казаха двамата изследователи ZDNet в имейл. „Както многократно сме казвали, тези корекции са фиктивни, те не правят нищо, защото цифрово подписаният фърмуер може да бъде понижен до всяка от предишните версии.“

Както Ермолов каза вчера, VISA не е уязвимост в чипсетите на Intel, а просто друг начин, по който полезна функция може да бъде злоупотребена и обърната срещу потребителите. Вероятността VISA да бъде злоупотребена е малка. Това е така, защото ако някой се затрудни да използва уязвимостите на Intel-SA-00086, за превземат Intel ME, тогава те вероятно ще използват този компонент за извършване на своите атаки, вместо да разчитат на него ВИЗА. Това изследване обаче подчертава друг потенциален вектор на атака в чипсетите на Intel.

Като странична бележка, това е втората характеристика на „производствения режим“, открита от Goryachy и Ermolov през изминалата година. Те също така установиха, че Apple случайно е изпратила някои лаптопи с процесори на Intel, които са били оставени в „производствен режим“.

Статията е актуализирана с коментари от изследователи на Positive Technologies.

Създайте чудовище $5100 AMD Ryzen Threadripper 2990WX настолен компютър

Още доклади за уязвимости:

  • Открита е сериозна грешка в сигурността в популярната PHP библиотека за създаване на PDF файлове
  • Cisco сбърка RV320/RV325 кръпки, рутерите все още са изложени на хакове
  • Уязвимостта на Google Photos може да е позволила на хакерите да извлекат метаданни на изображението
  • Microsoft ще поправи „нов клас грешки“, открит от инженер на Google
  • Нулев ден в WordPress SMTP плъгин, злоупотребяван от две хакерски групи
  • Google поправя бъг „зъл курсор“ на Chrome, злоупотребяван от измамни сайтове за техническа поддръжка
  • DJI поправя уязвимостта, която позволява на потенциални хакери да шпионират дронове CNET
  • Топ 10 на уязвимостите на приложенията: Доминират плъгини и разширения без корекции TechRepublic