Black Hat Europe, London En blinkende tekst med 'Game Over' hen over skærmen, mens computeren booter, og Windows indlæser.
Det var indholdet af en lille video, som blev vist under et indlæg om en sårbarhed i Intel Management Engine (ME) på it-sikkerhedskonferencen Black Hat Europe. Det er samme sårbarhed, som Intel i november udsendte en sikkerhedsbulletin om, hvilket gav anledning til en del omtale.
Bag indlægget på Black Hat Europe står de to sikkerhedsfolk fra Positive Technologies, Maxim Goryachy og Mark Ermolov, som også står bag opdagelsen af sårbarheden, der berører rigtig meget Intel-hardware.
Formålet med 'Game over'-videoen var at vise, hvor meget kontrol det faktisk er muligt at få over maskinen via sårbarheden i ME.
Der var godt nok tale om en video af en demonstration og altså ikke en live-demonstration, men de to sikkerhedsfolk bedyrede fra scenen, at der ikke var fusket i forhold til indholdet af videoen.
Sårbarheden gør det muligt at kompromittere den software, der kører inden i Intel-hardwaren.
Alt efter smag og behag er tanken ubehagelig.
Hvis systemet først er kompromitteret på det niveau, så bliver computeren også ved med at være det, selvom styresystemet eksempelvis slettes, harddisken formateres og så videre.
»Den er uafhængig af de operativsystemer, den kører på en anden CPU på dit bundkort og et andet operativsystem. Det hjælper dig ikke at have anti-virus eller firewall,« siger Maxin Goryachy i et efterfølgende interview med Version2.
Intel udsendte 20. november en sikkerhedsbulletin om flere sårbarheder, chipgiganten var blevet opmærksom på i adskillige produkter, blandt andet i nyere Intel Core-processorer. Herunder sårbarheden, som Maxim Goryachy og Mark Ermolov havde fundet frem til i ME.
Intel har afdækket yderligere sårbarheder som følge af en intern kodegennemgang, der blev igangsat foranlediget af de to sikkerhedsfolks opdagelse.
Mange computere
Sårbarheden i ME berører i udgangspunktet rigtigt mange systemer (Intels sikkerhedsbulletin indeholder en liste).
Blandt andet computeren, som denne artikel er skrevet på. Det bekræfter de to forskere, da de får øje på en sticker med 'Core i5 7th gen.' på Version2's Lenovo Carbon X1-computer.
»Åh ja, du er ramt,« siger Maxim Goryachy.
Her anfører Version2's udsendte, at maskinen måske alligevel ikke er sårbar, al den stund, den har fået en bios-opdatering fra november (under et forsøg på at få en monitor til at virke).
Og Lenovo er en af de leverandører, som netop har været klar med en patched udgave af Intel-softwaren til pc-producentens maskiner.
Og så er det problem vel løst?
»Uheldigvis nej. En angriber kan nedgradere versionen til en sårbar version og udnytte den,« siger Maxim Goryachy.
Den eneste måde helt at sikre sig mod dette på er ifølge sikkerhedsfolkene at udskifte hardwaren.
»Du kan ikke opgradere, du kan kun udskifte dit bundkort,« siger Maxim Goryachy og forklarer, at sådan en udskiftning dog først giver mening, når Intel er klar med næste version af Management Engine, version 12, som antageligt ikke vil være sårbar over for teknikken.
Godt nyt
Heldigvis er der også godt nyt. ME-sårbarheden, der altså ifølge sikkerhedsfolkene i sidste ende kan kræve en udskiftning af hardwaren for at blive elimineret helt, er umiddelbart vanskelig at udnytte på afstand. For eksempelvis via internettet.
»Det er en meget svær (angrebs)vektor at udnytte. Jeg mener kun, den lokale (angrebs)vektor er sandsynlig i virkeligheden.«
En lokal angrebsvektor kan dog i princippet godt være kode fra internettet, der via en kæde af sårbarheder - i eksempelvis browser og styresystem - ender med at blive eksekveret i den rette kontekst lokalt på maskinen.
En angriber skal med andre ord gennem en del nåleøjer for at få succes ad denne vej.
»Men hvis det lykkedes med sådan en kæde, så er der fuldstændigt game over,« siger Maxin Goryachy.
Sikkerhedsfolkene er har ikke undersøgt denne form for angrebs-scenarier nærmere, påpeger han.
Et alternativ til ovenstående, og muligvis omfattende angreb, kan slet og ret være, at boote maskinen op via en USB-nøgle, CD eller lignende og ad den vej eksekvere ondsindet kode, lokalt.
Mere godt nyt
Både USB-angreb og angreb med kode fra internettet bygger imidlertid på en væsentlig forudsætning. Nemlig at udstyrsproducenten ikke har aktiveret en særlig skrivebeskyttelsesfunktion.
Intel anbefaler, at producenter aktiverer denne funktion. Der står mere om det her.
Alle producenter aktiverer dog ikke skrivebeskyttelsen, forklarer Maxin Goryachy.
»Uheldigvis er der nogle leverandører, der ikke gør det.«
Hvis skrivebeskyttelsen ikke er slået til af producenten, så vil det ifølge de to forskere i princippet også være muligt for en angriber at nedgradere en ellers patched version af ME - eksempelvis via USB - til en sårbar udgave.
Selvom skrivebeskyttelsen er slået til, så er udstyret stadig ikke beskyttet helt, fremgår det af Intel-beskrivelsen fra før. Men nu kræver det særdeles fysisk adgang til udstyret. Det vil blandt andet sige åbning af kabinet.
Herefter kan en angriber trods skrivebeskyttelse indlæse ondsindet software med en programmeringsenhed, som flash-hukommelsen bliver fysisk koblet til.
En potentiel dårlig nyhed
Så i sidste ende kan det måske virke noget besværligt at udnytte sikkerhedsfolkenes ME-sårbarhed.
Men det kan muligvis godt betale sig.
Ifølge de to sikkerhedsfolk kan ME-sårbarheden bruges til at tilgå krypteringsnøgler lagret i TPM (Trusted Platform Module) på systemer, der anvender denne teknologi. TPM er en indlejret del af hardwaren, der blandt andet kan lagre krypteringsnøgler, så de ikke ligger på harddisken.
»Hvis din kryptering eksempelvis baserer sig på Microsofts Bitlocker og bruger firmware-TPM fra Intel Management Engine, så kan en angriber stjæle din pc og dekryptere den ved at bruge vores sårbarhed,« siger Mark Ermolov.
Dette trusselsscenarie kan ifølge Maxin Goryachy også gøre sig gældende på Linux-systemer, der bruger TPM til kryptering.
»Hvis du bruger TPM 2.0, så kan en angriber sandsynligvis gendanne alle data på din harddisk.«
En artikel som denne peger for mig på at man altid vil være udsat, uanset om man som superbruger følger alle de nyeste exploits eller endnu farligere som menig mand (mig selv) overlader ens PC-sikkerhed til en IT-ansvarlig, fordi man oftest blot bruger sin PC til at udføre ikke-IT-relateret arbejde.
Ville man generelt ikke opnå større datasikkerhed og mindre nedetid, hvis man begyndte at antage at man altid er 100% udsat og blottet? Dvs. altid eller ofte arbejder i skyen, så man nemt kan hotswappe PC, og som udgangspunkt antage at den data man arbejder med er offentligt tilgængelig, så man begynder at være kritisk overfor særligt følsom data (og derfor gør sig særlige tiltag for netop den følsomme data), i stedet for at leve med falsk tryghed.
Jeg har ikke kunnet finde andre der siger at TPM er sårbart. Men hvis det er sandt at man kan komme til nøglerne i TPM hvis man hacker ME, så er TPM noget mindre værd i praksis. Skræmmende.
Det er et hav af nåleøjer man skal igennem som hacker for at opnå adgang til at lægge en kreativ firmware/BIOS ind i systemet.
Dette uanset om man kører Windows, Mac eller Linux.
Der hvor man bør være bekymret er vel når man downloader ISO-filer e.l. (i stil med Linux live images, System Rescue CD, osv.). Her tjekker vi jo alle MD5 summen inden vi kører skidtet. Det gør vi jo alle, ikke også! (Jeg glemmer det godt nok 100% af gangene, men sådan er der jo så meget.) ;-)
Hvis nogen er smarte nok til at angribe dig via ME på beskrevne vis - Så er de også smarte nok til at arrangere at den rogue ISO du præsenteres for, stemmer med den (rogue) MD5-sum fra downloadstedet...
Der er mere i denne PDF med hans præsentation:
https://www.blackhat.com/docs/eu-17/materials/eu-17-Goryachy-How-To-Hack...
Source https://firmwaresecurity.com
Var det ikke noget med at TPM originalt var implementeret i separat hardware, men i nyere versioner blev flyttet ind og kører som software i Management Engine?
Det tror jeg er rigtigt. Men jeg havde stadigvæk forestillet mig at selve nøglehåndtering var i noget dedikeret hardware hvor der krævedes fysisk adgang til chippen for at komme til nøglerne. Og at denne adgang var destruktiv.
Hvis det bare er almindelig x86 kode der blot kører i ring -3 så er det skræmmende. For så vil en angriber kunne komme til nøglerne uden at det kan ses bagefter. Jeg synes at huske at Google ville lave deres egen TPM modul til servere i deres datacentre ... måske er det derfor.