CPU Intel Skylake e successive vulnerabili ad un exploit via USB

Le CPU Intel prodotte dal 2008 dispongono di una componente chiamata Intel Management Engine (IME), che effettua alcune operazioni estremamente specifiche, come la gestione di attività di amministrazione remota separate dal sistema operativo in uso. Si tratta di una funzione che la EFF ha spesso indicato come un rischio nella sicurezza e nella privacy, perché considerata come se fosse una "scatola nera" che può controllare l'hardware e le periferiche di rete anche quando il computer è spento.

E pare che, secondo quanto rivelato da Positive Technologies, le paure della EFF non fossero infondate. I ricercatori della società di sicurezza sono stati capaci infatti di eseguire codice non firmato attraverso una porta USB su computer che sfruttano l'IME. I dettagli più profondi dell'exploit non sono stati ancora resi noti, tuttavia la società ha dichiarato che sfruttando le porte di debugging JTAG, che vengono utilizzate sia da IME che dal protocollo USB, è possibile "ottenere un JTAG per Intel CSME via USB DCI", ed eseguire codice custom "unsigned".

Sebbene IME sia una componente presente da diversi anni nelle CPU Intel, questo particolare attacco è praticabile solamente sulle CPU con architettura Skylake e successive. Non è, inoltre, la prima volta che sono state scoperte problematiche di sicurezza nella tecnologia, ma questa volta la criticità della falla deriva dal fatto che è violabile attraverso una semplice chiavetta USB, uno dei vettori più utilizzati per eseguire exploit di questo tipo. In precedenza Stuxnet, che si pensava fosse legato al programma nucleare iraniano, si è diffuso attraverso chiavette USB lasciate a terra che i malcapitati utenti raccoglievano e utilizzavano nei loro sistemi.

Non è possibile ovviamente sbarazzarsi di IME nelle CPU Intel, tuttavia è interessante notare come ci sia una nicchia di mercato che propone i loro sistemi con la feature disabilitata via firmware. Il CEO di Purism Todd Weaver ha commentato così le novità rivelate in queste ore: "L'Intel ME è da tempo teorizzata come una delle più pericolose minacce, ma questa non è più teoria. Disporre dell'accesso di ogni macchina Intel sull'hardware e a livello più basso di qualsiasi software significa che ogni aggressore o criminale può ottenere controllo su tutto".

In questo tutto sono compresi dispositivi di storage protetti con crittografia, password, chiavi segrete, dettagli finanziari: "Tutto quello che c'è sul computer e quello su cui il computer opera", continua Weaver. "Purism è l'unica compagnia che vende dispositivi con IME disabilitato di default, e investiremo nei miglioramenti dI sicurezza sul nostro hardware con benefici per tutti gli utenti in tutto il mondo". È da sottolineare che attualmente non ci sono casi di exploit realizzati con questo metodo, con il rischio di sicurezza che però potrebbe accendersi in futuro.