自 2018 年以來,英特爾處理器先後爆出「幽靈」、「熔斷」、Lazy LP 及 Management Engine 等漏洞,時至今日,英特爾(Intel)似乎還是沒能擺脫漏洞威脅的「魔咒」。
近日,資安研究人員發現,過去 5 年,英特爾處理器有個未發現的漏洞,而這些硬體目前全球有數以百萬計公司在用,除非把這些受影響的處理器都換掉,不然無法避開這個漏洞。雖英特爾已發布修補程式以減少漏洞危害,但這不能充分保護系統。
CSME 漏洞可讓駭客繞開加密保護
據 ArsTechnica 報導,漏洞是在聚合安全和管理引擎,這是英特爾 CPU 和晶片組的子系統,大致類似 AMD 的平台安全處理器。此特性通常縮寫為 CSME,有基於韌體的功能,同時也是可信平台模組(Trusted Platform Module)的所在地,TPM 允許操作系統及應用程式保存和管理諸如文件系統的密鑰等。
由於英特爾 CSME 子系統有攔截透過 USB 控制器傳遞任何數據的特殊工具(所謂的 USB─重定向),使用此漏洞的攻擊者可能在英特爾 CSME 啟動特殊惡意代碼,將可讀取擊鍵(鍵盤記錄器)。
這種惡意代碼也不會被任何防毒軟體查到,因為它在硬體等級工作。因此,攻擊者可竊取輸入的用戶密碼。此外,攻擊者可將代碼以特殊的控制器執行──英特爾整合感測器集線器(ISH)。
一旦攻擊者在 ISH 執行代碼,攻擊者就能攻擊英特爾 CSME,並在子系統執行任意程式碼,透過提取晶片組密鑰完成操作。故攻擊者可繞過 CSME 使用的任何數據加密(fTPM、DRM、Intel 標示保護),可怕的是,如果密鑰已被提取,不再可能更改並使用任何韌體更新保護系統,因為不再有建立防禦的「基礎」。
目前只有英特爾最新 10 代處理器沒有這個漏洞,不過對前幾代處理器的用戶來說,也不是完全沒有辦法預防攻擊,因此,為了保護處理敏感業務的設備,研究人員建議禁用基於英特爾 CSME 的數據儲存設備加密,或考慮更換到第十代或更高階版 CPU 。
漏洞將危及英特爾的信任根基
由於漏洞存在 CSEM,因此不能用韌體更新修補。
「這個漏洞危害英特爾為建立信任根基所做的一切,問題的嚴重性不僅是不可能修復在微處理器和晶片組的掩碼 ROM 硬編碼的韌體錯誤,更大的擔憂是,由於漏洞允許在硬體等級妥協,破壞了整個平台的信任鏈。」硬體安全首席專家 Mark Ermolov 文章寫道。
除了可信平台模組,成功利用漏洞的攻擊者可繞過英特爾提供的安全保護強化隱私 ID(EPID)和專有數據的數位權管理保護,還可提取晶片組加密密鑰,由於漏洞允許修改韌體,攻擊者可執行其他惡意操作,這將造成非常嚴重的影響。
現已發布修復程式
目前英特爾已發布韌體和軟體更新,並提供檢測工具以緩解漏洞的影響。
除此之外,英特爾還提供檢測工具 CSME_Version_Detection_Tool_Windows.zip:適用 Windows 用戶。
下載包含兩版工具:
第一版是互動式 GUI 工具,可用於發現設備的硬體和軟體細節,並提供風險評估。建議對系統本地端評估使用此版本。
第二版是控制台可執行文件,將發現資訊保存到 Windows 註冊表/XML 文件。對於想跨多台機器執行批量搜尋的 IT 管理員來說,這版更方便找到需要韌體更新的系統。
不過,ArsTechnica 報導也提到,英特爾韌體修補程式僅修復部分漏洞問題,要完全修補此漏洞,最好更換 CPU。
科技新報粉絲團
加入好友
訂閱免費電子報
