本文来自“雷锋网”
自 2018 年以来,英特尔(INTC.US)处理器先后被爆出“幽灵”、“熔断”、Lazy LP 以及 Management Engine 等漏洞,时至今日,英特尔似乎还是没能摆脱漏洞威胁的“魔咒”。
3 月 6 日消息,近日,安全研究人员发现,过去 5 年 ,Intel 处理器上有一个未被发现过的漏洞,而这些硬件目前在全球都有数以百万计的公司在用,除非把这些受影响的处理器都换掉,不然无法避开这个漏洞,虽然Intel已经发布补丁以减少漏洞的危害,但这并不能充分保护系统。
CSME漏洞可让黑客绕开加密保护
据报道,该漏洞存在于聚合安全和管理引擎中,这是 Intel CPU 和芯片组中的一个子系统,大致类似于AMD的平台安全处理器。这个特性通常缩写为CSME ,它实现了基于固件的功能,同时也是可信平台模块(Trusted Platform Module)的所在地,TPM 允许操作系统及应用程序保存和管理诸如文件系统的密匙等。
由于Intel CSME子系统具有拦截通过 USB 控制器传递的任何数据的特殊工具(所谓的 USB -重定向),使用此漏洞的攻击者可能在Intel CSME上启动一种特殊的恶意代码,该代码将读取击键(键盘记录器)。
而这种恶意代码也不会被任何杀毒软件检测到,因为它在硬件级别工作。因此,攻击者可以窃取输入的用户密码。此外,攻击者可以将代码在一个特殊的控制器上运行,英特尔集成传感器集线器(ISH )。
一旦攻击者在 ISH 上执行代码,攻击者就可以攻击 Intel CSME ,并且已经在这个子系统上执行任意代码, 并通过提取芯片组密钥持续完成此操作。由此,攻击者可以绕过 Intel CSME 中使用的任何数据加密( fTPM、DRM、Intel 标识保护),可怕的是,如果密钥已被提取,则不再可能更改它并使用任何固件更新来保护系统,因为不再存在建立防御的“基础”。
目前只有 Intel 最新的10代处理器没有这个漏洞,不过对于前几代处理器的用户来说也不是完全没有办法预防这样的攻击,因此,为了保护处理敏感业务的设备,研究人员建议禁用基于Intel CSME 的数据存储设备加密,或者考虑更换到第十代或更高版本的 Intel CPU 。
漏洞将危及英特尔的信任根基
由于该漏洞存在于CSEM中,因此,这个漏洞不能用固件更新来修补。
“这个漏洞危害了英特尔为建立信任根基所做的一切,问题的严重性不仅在于不可能修复在微处理器和芯片组的掩码 ROM 中硬编码的固件错误,更大的担忧是,由于该漏洞允许在硬件级别进行妥协,它破坏了整个平台的信任链”。硬件安全首席专家 Mark Ermolov 在一篇文章中写道。
除了可信平台模块外,成功利用该漏洞的攻击者可以绕过 Intel 提供的安全保护强化私隐 ID ( EPID )和对专有数据的数字版权管理保护,还可以提取芯片组加密密钥,由于漏洞允许修改固件,攻击者可以执行其他恶意操作,这将会造成非常严重的影响。
现已发布修复补丁
目前英特尔官方已经发布了固件和软件更新,并提供检测工具以缓解这些漏洞的影响。
除此之外,英特尔还提供了检测工具: CSME_Version_Detection_Tool_Windows.zip,适用于 Windows用户
该下载包含两个版本的工具:
第一个版本是一种交互式 GUI 工具,可用于发现设备的硬件和软件细节,并提供风险评估。建议对系统的本地评估使用此版本。
该工具的第二个版本是控制台可执行文件,它将发现信息保存到 Windows 注册表和/或 XML 文件中。对于想要跨多台机器执行批量发现的 IT 管理员来说,这一版本更方便,可以找到面向固件更新的系统。
不过,在报道中也提到,英特尔固件补丁仅修复了部分漏洞问题。要完全修补此攻击媒介,需要更换CPU。
(编辑:彭谢辉)