研究人員發現英特爾芯片組中可能被黑客使用的“新功能”VISA
Black Hat Asia 2019安全會議上,Positive Technologies的安全研究人員披露了英特爾芯片組中此前未知和未記錄的功能。研究人員Maxim Goryachy和Mark Ermolov稱其為英特爾內部信號可視化(Intel VISA,Intel Visualization of Internal Signals Architecture),這是現代英特爾芯片組中的一項新工具,可幫助英特爾在生產線上進行測試和調試。
VISA包含在平台控制器集線器(PCH)芯片組中,是英特爾CPU的一部分,其工作原理就像一個成熟的邏輯信號分析儀。
PCH,圖片來源:Wikimedia Commons
根據兩位研究人員的說法,VISA攔截從內部總線和外圍設備(顯示器,鍵盤和網絡攝像頭)發送到PCH的電子信號,在主CPU之後。
VISA可能獲得計算機的全部數據
未經授權訪問VISA功能將允許入侵者攔截計算機內存的數據,並在盡可能低的層級創建間諜軟件。
儘管它具有極強的侵入性,但對這項技術目前知之甚少。Goryachy和Ermolov表示,VISA的文件須遵守保密協議,並不向公眾開放。
通常,這種保密和安全默認的組合使英特爾的用戶免受可能的安全攻擊。
然而,兩位研究人員表示他們發現了幾種啟用VISA並使用通過CPU嗅探的數據的方法,甚至通過隱秘的英特爾管理引擎(ME),自從Nehalem和5系列處理器發布以來它一直存放在PCH中。
英特爾表示問題已經解決,但研究員不同意
Goryachy和Ermolov表示,他們的技術不需要對計算機主板進行硬件修改,也無需特定設備。
最簡單的方法是使用英特爾的Intel-SA-00086安全建議中詳述的漏洞來控制英特爾管理引擎並以此方式啟用VISA。
英特爾發言人昨天告訴ZDNet,“BlackHat Asia討論的英特爾VISA問題依賴於物理訪問和2017年11月20日INTEL-SA-00086已經修補的緩解漏洞” 。已經應用這些措施的客戶受到保護,不受已知問題的影響。”
然而,在給ZDNet的電子郵件中,兩位研究人員表示英特爾-SA-00086修復程序還不夠,因為英特爾固件可以降級為易受攻擊的版本,攻擊者可以接管英特爾ME,然後啟用VISA。
此外,研究人員表示還有其他三種方法可以使英特爾VISA不依賴於這些漏洞,這些方法將在未來幾天內黑帽組織者發布二人組合的演示幻燈片時公開。
“這些漏洞只是啟用英特爾VISA的一種方式,在我們的演講中我們提供了其他幾種方法來實現。”兩位研究人員在電子郵件中告訴ZDNet。“正如我們一再表示的那樣,這些修復都是虛設的,它們沒有做任何事情,因為數字簽名的固件可以降級到任何以前的版本。”
正如Ermolov昨天所說,VISA並不是英特爾芯片組中的一個漏洞,而只是另一種可能被濫用的功能,並轉向用戶的方式。VISA濫用的可能性很低。這是因為如果有人利用Intel-SA-00086漏洞來接管Intel ME,那麼他們可能會使用該組件來進行攻擊,而不是依靠VISA。然而,這項研究指出了英特爾芯片組中另一種潛在的威脅。
另外,這是Goryachy和Ermolov在過去一年中發現的第二個“製造模式”功能。他們還發現蘋果意外地出貨了一些配備英特爾CPU的筆記本電腦還處於“製造模式”。