Основы Интернет - технологий.

Специалист PT SWARM Марк Ермолов обнаружил новый подход к использованию ряда старых уязвимостей (CVE-2017-5705, CVE-2017-5706, CVE-2017-5707, CVE-2019-0090, CVE-2021-0146), уже исправленных компанией Intel. Атака позволяет потенциальному злоумышленнику похитить информацию, получить доступ к зашифрованным файлам, обойти средства защиты авторских прав. Исследователь объясняет, что если раньше перечисленные уязвимости позволяли только частично скомпрометировать систему, то теперь их эксплуатация может привести к полной компрометации системы безопасности затронутых платформ. Новый подход к эксплуатации может быть применим для атак на устройства, оснащенные процессорами Intel Pentium, Celeron и Atom семейств Denverton, Apollo Lake, Gemini Lake и Gemini Lake Refresh. Выпуск этих чипов прекращен, однако они все еще применяются во встраиваемых системах и ультрамобильных устройствах, таких как электронные книги или мини-ПК. Компания Intel была уведомлена об обнаруженной проблеме, но не признала ее уязвимостью и отказалась принимать меры для ее устранения или снижения уровня угрозы. Основной вектор связан с атаками на цепочку поставок. Так, потенциальный злоумышленник может внедрить в процессоры спайварь через цепочку поставок — на этапе сборки или ремонта оборудования. «Для такой атаки не требуется пайка или другая физическая модификация оборудования. Злоумышленнику достаточно локального доступа для извлечения ключа шифрования и внедрения вредоносного кода в прошивку подсистемы Intel CSME. Подобную зловредную программу с большой долей вероятности не смогут выявить стандартные функции безопасности, такие как Intel Boot Guard или virtualization-based security (VBS), и все существующие антивирусы. До поры до времени оставаясь незамеченным, вредоносный код может начать высылать данные пользователей злоумышленникам, блокировать доступ к устройству, удалять и зашифровывать данные носителей и выполнять другие опасные действия», — объясняет Ермолов. Второй возможный сценарий атаки связан с обходом средств защиты авторских прав (DRM) для получения доступа к защищенному контенту стриминговых сервисов. Также найденная методика компрометации может применяться для обхода механизмов защиты и копирования данных в некоторых моделях электронных книг Amazon, в которых используются уязвимые процессоры Intel Atom. Помимо этого, злоумышленники могут воспользоваться новыми возможностями эксплуатации недостатков для получения доступа к данным на зашифрованных носителях информации (жестких дисках или SSD). Такие атаки могут применяться при целенаправленной краже ноутбука или планшета на базе указанных процессоров. В 2021 году Positive Technologies помогла Intel исправить уязвимость CVE-2021-0146, которая позволяла извлечь зашифрованный корневой ключ платформы. Этот корневой ключ (chipset key) является одним из самых охраняемых секретов подсистемы Intel CSME, так как на нем базируется ее корень доверия (root of trust). На основании корневого ключа генерируются все рабочие ключи прошивки CSME — как для шифрования внутренних данных, так и для проверки целостности выполняемого кода (Integrity Control Value). Новый подход к эксплуатации этой проблемы позволяет расшифровать chipset key, который зашифрован специальным ключом fuse encryption key, и полноценно использовать его в злонамеренных целях.