Érintett a processzorom?

A Positive Technologies biztonsági kutatói által közzétett jelentés szerint a hiba sajnos nem javítható tökéletesen. A probléma az Intel CPU-kban, a Converged Security and Management Engine-ben (CSME) rejlik, és bár az Intel tavaly megpróbálta kezelni a bajt egy firmware-javítás részeként, de a kutatók szerint a vállalatnak nincs módja a biztonsági rés teljes kijavítására.

A CSME a legelső "biztonsági réteg" a platform többi része számára, azaz a rendszer a kriptográfiai biztonság megbízható forrásaként erre hivatkozik. Mivel a hiba a CSME bootROM-ban (csak olvasható, beégetett programkódot tartalmazó chip) található, a gyártás után ez már nem módosítható.

Az Intel megköszönte a Positive Technologies szakértőinek, hogy felfedezték a CSME-ben a biztonsági rést. A CVE-2019-0090 sebezhetőség kihasználásával egy helyi támadó hozzáférhet a PCH mikrochipen tárolt lapkakészlet-kulcshoz, és hozzáférést kaphat a kulccsal titkosított adatokhoz. Még ennél is rosszabb, hogy lehetetlen felfedezni egy ilyen veszedelmes behatolást.

Miben áll a sebezhetőség?

A megszerzett lapkakészlet-kulccsal a támadók dekódolhatják a célszámítógépen tárolt adatokat, és még hamisíthatják annak fokozott adatvédelmi azonosítóját (Enhanced Privacy ID - EPID), vagy más szóval,

műveleteikhez úgy állíthatják be saját támadó számítógépüket, mintha az, az áldozattá vált számítógép lenne. Az EPID-t használják a DRM-ben, a pénzügyi tranzakciókban és az IoT eszközök hitelesítésében is.

Mark Ermolov kutató a Positive Technologies operációs rendszer- és hardver-biztonsági vezető szakértője kifejtette: 

"A sérülékenység emlékeztet a közelmúltban, az Apple mobil platformjainak BootROM-jában azonosított hibára, de ez csak az Intel rendszereket érinti. Mindkét biztonsági rés lehetővé teszi a felhasználók titkosított adatainak megszerzését. Itt a támadók sokféle módon megszerezhetik a kulcsot, például kinyerhetik azt egy elveszett vagy ellopott laptopból a bizalmas adatok dekódolása céljából.

A gátlástalan beszállítók, vállalkozók vagy akár a számítógéphez fizikai hozzáféréssel rendelkező alkalmazottak is megszerezhetik a kulcsot. Egyes esetekben a támadók távolról is elfoghatják a kulcsot, feltéve, hogy többlépcsős támadás részeként helyi hozzáférést szereztek a megcélzott PC-hez, vagy ha a gyártó engedélyezi a belső eszközök olyan távoli firmware frissítéseit, például az Intel Integrated Sensor Hub.

Míg az Intel közzétett néhány javaslatot a probléma enyhítésére, az egyetlen igazi javítás az lehet, ha 10. generációs, vagy újabb processzorra upgradeljük az asztali gépünket, vagy új notebookot vásárolunk. Ennek költségei az otthoni felhasználóknak vagy kisebb cégeknek tetemesek lehetnek, gondoljunk csak a 10. generációs Intel processzorok árára, a várhatóan cserélendő alaplapokra, memóriamodulokra, tápegységekre, számítógépházakra, és talán még a monitorkártyákra is.

Egy asztali PC esetében könnyen 200 ezer forint fölé szaladhat a végösszeg, és akkor még az érintett notebookok cseréjével nem is számoltunk.

Mi várható ezek után?

A biztonsági rés potenciálisan veszélyeztetheti a közös adatvédelmi technológiákat, amelyek a titkosításhoz hardveres kulcsokra támaszkodnak, mint például a DRM, a firmware TPM és az Intel Identity Protection. A támadók például kihasználhatják saját számítógépük sebezhetőségét a védett tartalom DRM-jének megkerülésére és illegális másolatok készítésére. A ROM-ban ez a biztonsági rés tetszőleges kódfuttatást tesz lehetővé, az Intel CSME nulla szintű privilégium-beállításánál is. 

Az Intel azt ajánlja, hogy az Intel CSME, az Intel SPS, az Intel TXE, az Intel DAL és az Intel AMT felhasználói a biztonsági rés kiküszöbölése érdekében vegyék fel a kapcsolatot eszközük vagy alaplapjuk gyártójával mikrochip vagy BIOS frissítés céljából. Látogassák meg az Intel CVE-2019-0090 sebezhetőséggel foglalkozó webhelyét, a sebezhetőség enyhítésére vonatkozó legújabb javaslatokkal kapcsolatban. 

Mivel a sérülékenységet nem lehet teljes mértékben megjavítani a lapkakészlet ROM módosításával, a Positive Technologies szakértői javasolják az Intel CSME alapú adattároló eszközök titkosításának letiltását vagy a tizedik generációs vagy újabb Intel processzorokra való áttérést.

Ebben az összefüggésben rendkívül fontossá válik az infrastruktúrába történt behatolások, támadások utólagos észlelése olyan forgalmi elemző rendszerek segítségével, mint például a PT Network Attack Discovery. 

A pozitív technológiák szakértői évek óta elemzik a CSME Intel ME alrendszert. 2017-ben Mark Ermolov és Maxim Goryachy a Black Hat Europe- nál beszélt az Intel Management Engine 11 sebezhetőségéről, amely lehetővé teszi a betolakodók számára, hogy az eszközök legtöbb adatához és folyamatához hozzáférjenek. 2018-ban az Apple javította a  Positive Technologies által talált biztonsági rést a számítógépes firmware-ben (CVE-2018-4251). 

A biztonsági kutatók így fogalmaznak:

"Amikor ezzel a sebezhetőséggel visszaélnek, eluralkodik majd a káosz. Hardver-azonosítókat hamisítanak, a digitális tartalmakhoz férnek hozzá, a titkosított merevlemezek adatait dekódolják."

A Positive Technologies ígérete szerint publikálnak majd egy teljes hosszúságú whitepapert, amelyben a sebezhetőség teljesebb technikai leírását is közzéteszik.

(Forrás: Laptop, PTSecurity Képek: Intel Twitter, Pikrepo)