CPU Intel Skylake e successive vulnerabili ad un exploit via USB

CPU Intel Skylake e successive vulnerabili ad un exploit via USB

Un team di sicurezza ha dimostrato che l'IME presente sulle ultime CPU Intel può essere violato attraverso un exploit eseguibile via USB

di Nino Grasso pubblicata il , alle 13:01 nel canale Sicurezza
Intel
 

Le CPU Intel prodotte dal 2008 dispongono di una componente chiamata Intel Management Engine (IME), che effettua alcune operazioni estremamente specifiche, come la gestione di attività di amministrazione remota separate dal sistema operativo in uso. Si tratta di una funzione che la EFF ha spesso indicato come un rischio nella sicurezza e nella privacy, perché considerata come se fosse una "scatola nera" che può controllare l'hardware e le periferiche di rete anche quando il computer è spento.

E pare che, secondo quanto rivelato da Positive Technologies, le paure della EFF non fossero infondate. I ricercatori della società di sicurezza sono stati capaci infatti di eseguire codice non firmato attraverso una porta USB su computer che sfruttano l'IME. I dettagli più profondi dell'exploit non sono stati ancora resi noti, tuttavia la società ha dichiarato che sfruttando le porte di debugging JTAG, che vengono utilizzate sia da IME che dal protocollo USB, è possibile "ottenere un JTAG per Intel CSME via USB DCI", ed eseguire codice custom "unsigned".

Sebbene IME sia una componente presente da diversi anni nelle CPU Intel, questo particolare attacco è praticabile solamente sulle CPU con architettura Skylake e successive. Non è, inoltre, la prima volta che sono state scoperte problematiche di sicurezza nella tecnologia, ma questa volta la criticità della falla deriva dal fatto che è violabile attraverso una semplice chiavetta USB, uno dei vettori più utilizzati per eseguire exploit di questo tipo. In precedenza Stuxnet, che si pensava fosse legato al programma nucleare iraniano, si è diffuso attraverso chiavette USB lasciate a terra che i malcapitati utenti raccoglievano e utilizzavano nei loro sistemi.

Non è possibile ovviamente sbarazzarsi di IME nelle CPU Intel, tuttavia è interessante notare come ci sia una nicchia di mercato che propone i loro sistemi con la feature disabilitata via firmware. Il CEO di Purism Todd Weaver ha commentato così le novità rivelate in queste ore: "L'Intel ME è da tempo teorizzata come una delle più pericolose minacce, ma questa non è più teoria. Disporre dell'accesso di ogni macchina Intel sull'hardware e a livello più basso di qualsiasi software significa che ogni aggressore o criminale può ottenere controllo su tutto".

In questo tutto sono compresi dispositivi di storage protetti con crittografia, password, chiavi segrete, dettagli finanziari: "Tutto quello che c'è sul computer e quello su cui il computer opera", continua Weaver. "Purism è l'unica compagnia che vende dispositivi con IME disabilitato di default, e investiremo nei miglioramenti dI sicurezza sul nostro hardware con benefici per tutti gli utenti in tutto il mondo". È da sottolineare che attualmente non ci sono casi di exploit realizzati con questo metodo, con il rischio di sicurezza che però potrebbe accendersi in futuro.

25 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
FroZen10 Novembre 2017, 14:19 #1
Ecco....

QUESTE cose dovrebbero affondare un titolo azionario, non il +2% o il -3% di revenue stimato su un quarter.......

Ma non erano i ruuuuusssiiiiiiiiiiiiiiiii che hakeravano ovunque mentre i nostri alleati americani angioletti a cui affidare le chiavi di casa?
Unrue10 Novembre 2017, 14:37 #2
In precedenza Stuxnet, che si pensava fosse legato al programma nucleare iraniano, si è diffuso attraverso chiavette USB lasciate a terra che i malcapitati utenti raccoglievano e utilizzavano nei loro sistemi.


Non ci posso credere
H.D. Lion10 Novembre 2017, 14:51 #3
Un altro buon motivo per passare ad AMD...
s0nnyd3marco10 Novembre 2017, 14:52 #4
Correggetemi se sbaglio, ma IME fa parte di Active Management Technology (AMT) che e' una feature disponibile solo su piattaforma Intel con tecnologia vPRO e specifico chipset. Inoltre credo che la tecnologia sia disabilitabile da BIOS.

Mi sa tanto di sparata sensazionalistica
s0nnyd3marco10 Novembre 2017, 14:52 #5
Originariamente inviato da: H.D. Lion
Un altro buon motivo per passare ad AMD...


Che ha da acluni anni PSP (non la console).
rockroll11 Novembre 2017, 04:42 #6
Originariamente inviato da: s0nnyd3marco
Che ha da acluni anni PSP (non la console).


Che non è proprio la stessa cosa, avendo per scopo dichiarato la gestione di una (ARM) TrustZone dove eseguire in modo sicuro operazioni di base sensibili, e quanto meno non offre il fianco ad eccessi silenti (potenzialmente malevoli) da remoto.
AMD non ha mai nascosto la presenza di PSP (“Platform Security Processor&#8221, anzi è stata ad un passo dal renderne pubblico il codice, cosa cui poi ha rinunciato, a suo dire per evitare che malintenzionati ne ricercassero eventuali punti deboli.
pabloski11 Novembre 2017, 11:19 #7
Originariamente inviato da: rockroll
Che non è proprio la stessa cosa, avendo per scopo dichiarato la gestione di una (ARM) TrustZone dove eseguire in modo sicuro operazioni di base sensibili, e quanto meno non offre il fianco ad eccessi silenti (potenzialmente malevoli) da remoto.


Pure Intel ha assicurato che ME esiste solo per il nostro bene e anzi aiuta a proteggerci dai cattivoni. PSP ha come ulteriori scopo l'implementazione di funzionalità crittografiche, ma la verità è che qualsiasi cosa abbia accesso diretto alla memoria e privilegi illimiati è una minaccia. Se è closed source, non disabilitabile, non ispezionabile c'è pure la possibilità che sia sede di backdoor.


Originariamente inviato da: rockroll
AMD non ha mai nascosto la presenza di PSP (“Platform Security Processor&#8221, anzi è stata ad un passo dal renderne pubblico il codice, cosa cui poi ha rinunciato


Nemmeno Intel ha mai nascosto la presenza di ME. Quello che è nascosto in entrambi i casi è il codice sorgente. Ma lasciando da parte i sorgenti, almeno la possibilità di rimuovere quella roba o disabilitarla totalmente.


Originariamente inviato da: rockroll
a suo dire per evitare che malintenzionati ne ricercassero eventuali punti deboli.


Security through obscurity usata come scusa. Ma se pure i polli nell'ambiente della sicurezza informatica sanno che la security through obscurity non è mai servita a niente.
An.tani11 Novembre 2017, 12:17 #8
Originariamente inviato da: s0nnyd3marco
Correggetemi se sbaglio, ma IME fa parte di Active Management Technology (AMT) che e' una feature disponibile solo su piattaforma Intel con tecnologia vPRO e specifico chipset. Inoltre credo che la tecnologia sia disabilitabile da BIOS.

Mi sa tanto di sparata sensazionalistica


Purtroppo no. Intel ME è un vero e proprio sistema operativo derivato da minix. Da bios disabiliti la parte visibile al tuo sistema operativo ma continua ad essere caricato al boot

https://www.eff.org/deeplinks/2017/05/intels-management-engine-security-hazard-and-users-need-way-disable-it
digieffe11 Novembre 2017, 12:23 #9
Originariamente inviato da: s0nnyd3marco
Correggetemi se sbaglio, ma IME fa parte di Active Management Technology (AMT) che e' una feature disponibile solo su piattaforma Intel con tecnologia vPRO e specifico chipset. Inoltre credo che la tecnologia sia disabilitabile da BIOS.

Mi sa tanto di sparata sensazionalistica


Originariamente inviato da: An.tani
Purtroppo no. Intel ME è un vero e proprio sistema operativo derivato da minix. Da bios disabiliti la parte visibile al tuo sistema operativo ma contibua ad essere caricato al boot

https://www.eff.org/deeplinks/2017/05/intels-management-engine-security-hazard-and-users-need-way-disable-it


rimane il dubbio se è disponibile solo sotto piattaforma vPRO-AMT, qualcuno può chiarire?
pabloski11 Novembre 2017, 12:23 #10
Originariamente inviato da: An.tani
Purtroppo no. Intel ME è un vero e proprio sistema operativo derivato da minix. Da bios disabiliti la parte visibile al tuo sistema operativo ma contibua ad essere caricato al boot

https://www.eff.org/deeplinks/2017/05/intels-management-engine-security-hazard-and-users-need-way-disable-it


La confusione deriva dal fatto che s0nnyd3marco sta mischiando ME con AMT. AMT è un modulo di ME, ma non è l'unico. C'è tant'altra roba che gira su ME, sigla dietro la quale si nasconde non solo il software "amministrativo" di ME, ma il processore su cui gira. E quello è presente in tutte le CPU, non solo quelle installate sulle piattaforme vPro.

L'articolo riguarda quello che è stato fatto da alcuni ricercatori, ovvero ottenere accesso al processore ME, che ovviamente significa poter mettere le mani pure sul software che ci gira sopra.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^