自 2018 年以来,英特尔处理器先后爆出“幽灵”、“熔断”、Lazy LP 及 Management Engine 等漏洞,时至今日,英特尔(Intel)似乎还是没能摆脱漏洞威胁的“魔咒”。
近日,资安研究人员发现,过去 5 年,英特尔处理器有个未发现的漏洞,而这些硬件目前全球有数以百万计公司在用,除非把这些受影响的处理器都换掉,不然无法避开这个漏洞。虽英特尔已发布修补程式以减少漏洞危害,但这不能充分保护系统。
CSME 漏洞可让骇客绕开加密保护
据 ArsTechnica 报导,漏洞是在聚合安全和管理引擎,这是英特尔 CPU 和芯片组的子系统,大致类似 AMD 的平台安全处理器。此特性通常缩写为 CSME,有基于固件的功能,同时也是可信平台模组(Trusted Platform Module)的所在地,TPM 允许操作系统及应用程序保存和管理诸如文件系统的密钥等。
由于英特尔 CSME 子系统有拦截透过 USB 控制器传递任何数据的特殊工具(所谓的 USB─重定向),使用此漏洞的攻击者可能在英特尔 CSME 启动特殊恶意代码,将可读取击键(键盘记录器)。
这种恶意代码也不会被任何防毒软件查到,因为它在硬件等级工作。因此,攻击者可窃取输入的用户密码。此外,攻击者可将代码以特殊的控制器执行──英特尔整合感测器集线器(ISH)。
一旦攻击者在 ISH 执行代码,攻击者就能攻击英特尔 CSME,并在子系统执行任意程式码,透过提取芯片组密钥完成操作。故攻击者可绕过 CSME 使用的任何数据加密(fTPM、DRM、Intel 标示保护),可怕的是,如果密钥已被提取,不再可能更改并使用任何固件更新保护系统,因为不再有建立防御的“基础”。
目前只有英特尔最新 10 代处理器没有这个漏洞,不过对前几代处理器的用户来说,也不是完全没有办法预防攻击,因此,为了保护处理敏感业务的设备,研究人员建议禁用基于英特尔 CSME 的数据储存设备加密,或考虑更换到第十代或更高阶版 CPU 。
漏洞将危及英特尔的信任根基
由于漏洞存在 CSEM,因此不能用固件更新修补。
“这个漏洞危害英特尔为建立信任根基所做的一切,问题的严重性不仅是不可能修复在微处理器和芯片组的掩码 ROM 硬编码的固件错误,更大的担忧是,由于漏洞允许在硬件等级妥协,破坏了整个平台的信任链。”硬件安全首席专家 Mark Ermolov 文章写道。
除了可信平台模组,成功利用漏洞的攻击者可绕过英特尔提供的安全保护强化隐私 ID(EPID)和专有数据的数位权管理保护,还可提取芯片组加密密钥,由于漏洞允许修改固件,攻击者可执行其他恶意操作,这将造成非常严重的影响。
现已发布修复程式
目前英特尔已发布固件和软件更新,并提供检测工具以缓解漏洞的影响。
除此之外,英特尔还提供检测工具 CSME_Version_Detection_Tool_Windows.zip:适用 Windows 用户。
下载包含两版工具:
第一版是互动式 GUI 工具,可用于发现设备的硬件和软件细节,并提供风险评估。建议对系统本地端评估使用此版本。
第二版是控制台可执行文件,将发现资讯保存到 Windows 注册表/XML 文件。对于想跨多台机器执行批量搜寻的 IT 管理员来说,这版更方便找到需要固件更新的系统。
不过,ArsTechnica 报导也提到,英特尔固件修补程式仅修复部分漏洞问题,要完全修补此漏洞,最好更换 CPU。
- 5 years of Intel CPUs and chipsets have a concerning flaw that’s unfixable
- Intel warns of critical security flaw in CSME engine, issues discontinued product notices
(本文由 雷锋网 授权转载;首图来源:Unsplash)
