Исследователь из Positive Technologies обнаружил новый вектор эксплуатации ранее известных уязвимостей в процессорах Intel

Эксперт PT SWARM Марк Ермолов обнаружил новый вектор использования уязвимостей CVE-2017-5705, CVE-2017-5706, CVE-2017-5707, CVE-2019-0090, CVE-2021-0146, которые на данный момент уже исправлены компанией Intel. Если раньше указанные уязвимости позволяли лишь частично скомпрометировать систему, то теперь их эксплуатация может привести к полному взлому системы безопасности затронутых платформ. Новый подход к эксплуатации может быть применим для атак на устройства, оснащенные процессорами Intel Pentium, Celeron и Atom семейств Denverton, Apollo Lake, Gemini Lake и Gemini Lake Refresh. Выпуск этих чипов прекращен, но они все еще применяются во встраиваемых системах (например, в бортовой электронике автомобилей) и ультрамобильных устройствах, таких как электронные книги или мини-ПК. Компания Intel была уведомлена в рамках политики ответственного разглашения, но не признала описываемую проблему и отказалась принимать меры для ее устранения или снижения уровня угрозы.

Основной вектор связан с supply chain attacks. Потенциальный злоумышленник может внедрить в процессоры программу-шпион через цепочку поставок — на этапе сборки или ремонта оборудования.

«Для такой атаки не требуется пайка или другая физическая модификация оборудования. Злоумышленнику достаточно локального доступа для извлечения ключа шифрования и внедрения вредоносного кода в прошивку подсистемы Intel CSME. Подобную зловредную программу с большой долей вероятности не смогут выявить стандартные функции безопасности, такие как Intel Boot Guard или virtualization-based security (VBS), и все существующие антивирусы. До поры до времени оставаясь незамеченным, вредоносный код может начать высылать данные пользователей злоумышленникам, блокировать доступ к устройству, удалять и зашифровывать данные носителей и выполнять другие опасные действия», — отметил Марк Ермолов.

Второй возможный сценарий, возникший вместе с новым подходом к эксплуатации ранее закрытых уязвимостей, связан с обходом средств защиты авторских прав (DRM^[1]) для получения доступа к защищенному контенту стриминговых сервисов. Найденная методика компрометации также может использоваться для обхода механизмов защиты и копирования данных в некоторых моделях электронных книг Amazon, в которых используются уязвимые процессоры Intel Atom.

Помимо этого, злоумышленники могут воспользоваться новыми возможностями эксплуатации недостатков для получения доступа к данным на зашифрованных носителях информации (жестких дисках или SSD). Такие атаки могут применяться при целенаправленной краже ноутбука или планшета на базе указанных процессоров.

В 2021 году компания Positive Technologies помогла Intel принять меры для снижения риска, связанного с уязвимостью CVE-2021-0146, которая позволяла извлечь зашифрованный корневой ключ платформы. Этот корневой ключ (chipset key) является одним из самых охраняемых секретов подсистемы Intel CSME, так как на нем базируется ее корень доверия (root of trust). На основании корневого ключа генерируются все рабочие ключи прошивки CSME — как для шифрования внутренних данных, так и для проверки целостности выполняемого кода (Integrity Control Value). Новый подход к эксплуатации этой уязвимости позволяет потенциальным нарушителям расшифровать chipset key, который зашифрован специальным ключом fuse encryption key, и полноценно использовать его в злонамеренных целях.

По оценкам Mordor Intelligence, Intel входит в число лидеров рынка чипов для интернета вещей, а ее процессоры, например серии Atom E3900, подверженные указанным уязвимостям, используют десятки автопроизводителей.

Обеспечить непрерывный контроль уязвимостей внутри инфраструктуры поможет MaxPatrol VM — система vulnerability management. В случае успешной атаки одним из способов выявить признаки постэксплуатации и дальнейшие шаги атакующих является применение систем класса SIEM.

^[1] Digital rights management — технические средства защиты авторских прав.