Esperti pubblicano un esempio funzionante (“proof of concept”) di un attacco che sfrutta un nuovo baco nella gestione JTAG dell’Intel Managment Engine. L’IME è di fatto un microcontrollore che, in comunione con il Platform Hub, si occupa delle critiche operazioni di interscambio di comunicazioni e istruzioni tra tutti i componenti hardware del sistema, fulcro nevralgico delle operazioni svolte da un computer e potenziale via d’accesso molto privilegiata per ottenere il controllo a bassissimo livello dell’intero sistema.
Già l’anno passato c’era stato una prima avvisaglia del pericolo “latente” presente in tutti i processori Intel prodotti negli ultimi 10 anni che dispongono dell’interfaccia di controllo e gestione software IME (Intel Managment Engine), tanto che la Electronic Free Foundation (EFF) aveva più volte chiesto a Intel di permetterne ufficialmente la disabilitazione da BIOS per rendere più sicuri i sistemi in questione.
La compagnia americana rilasciò delle patch specifiche ma non fugò dubbi e paure inerenti la sicurezza e la salvaguardia dei dati presenti in questi sistemi, visto e considerato come il sottosistema software in questione fu sviluppato in collaborazione niente meno che con la National Security Agency (NSA) americana…
E oggi gli esperti della Positive Technologies hanno pubblicato un nuovo attacco funzionante che sfrutta un bug nella gestione delle funzionalità di debugging avanzate JTAG-over-USB3.0 insita in tutti i processori Apollo Lake e successivi. Il “proof of concept” permette l’esecuzione di codice arbitrario non controllato ed iniettato tramite l’interfaccia di debug JTAG presente nel framework software dell’IME; al momento è stato dimostrato questo tipo di attacco solo con accesso fisico diretto alla macchina e l’utilizzo di un dongle USB 3.0, su di un sistema Gigabyte Brix GP-BPCE-3350C (un mini-PC Intel Celeron della famiglia Apollo Lake). Il rischio allo stato attuale è inoltre mitigato anche dalla necessità della presenza di un determinato firmware nel sottosistema TXE (v. 3.0.1.1107) e una utility specifica e distribuita solitamente a un ristretto novero di OEM partner di Intel (Intel TXE System).
Fonte: SecurityAffairs