Intel IME flaw

Ancora una falla nell’Intel Managment Engine…

Esperti pubblicano un esempio funzionante (“proof of concept”) di un attacco che sfrutta un nuovo baco nella gestione JTAG dell’Intel Managment Engine. L’IME è di fatto un microcontrollore che, in comunione con il Platform Hub, si occupa delle critiche operazioni di interscambio di comunicazioni e istruzioni tra tutti i componenti hardware del sistema, fulcro nevralgico delle operazioni svolte da un computer e potenziale via d’accesso molto privilegiata per ottenere il controllo a bassissimo livello dell’intero sistema.

Già l’anno passato c’era stato una prima avvisaglia del pericolo “latente” presente in tutti i processori Intel prodotti negli ultimi 10 anni che dispongono dell’interfaccia di controllo e gestione software IME (Intel Managment Engine), tanto che la Electronic Free Foundation (EFF) aveva più volte chiesto a Intel di permetterne ufficialmente la disabilitazione da BIOS per rendere più sicuri i sistemi in questione.

La compagnia americana rilasciò delle patch specifiche ma non fugò dubbi e paure inerenti la sicurezza e la salvaguardia dei dati presenti in questi sistemi, visto e considerato come il sottosistema software in questione fu sviluppato in collaborazione niente meno che con la National Security Agency (NSA) americana…

E oggi gli esperti della Positive Technologies hanno pubblicato un nuovo attacco funzionante che sfrutta un bug nella gestione delle funzionalità di debugging avanzate JTAG-over-USB3.0 insita in tutti i processori Apollo Lake e successivi. Il “proof of concept” permette l’esecuzione di codice arbitrario non controllato ed iniettato tramite l’interfaccia di debug JTAG presente nel framework software dell’IME; al momento è stato dimostrato questo tipo di attacco solo con accesso fisico diretto alla macchina e l’utilizzo di un dongle USB 3.0, su di un sistema Gigabyte Brix GP-BPCE-3350C (un mini-PC Intel Celeron della famiglia Apollo Lake). Il rischio allo stato attuale è inoltre mitigato anche dalla necessità della presenza di un determinato firmware nel sottosistema TXE (v. 3.0.1.1107) e una utility specifica e distribuita solitamente a un ristretto novero di OEM partner di Intel (Intel TXE System).

Fonte: SecurityAffairs

Condividi su:
Torna su