如果您的笔记本电脑、台式机或服务器有英特尔处理器,而不是最新一代,不要让其他人得到他们的手。
这是安全供应商积极技术在本周的一个博客中揭露英特尔聚合安全和管理引擎(CSME)ROM中的漏洞后推荐的关键防御措施之一。 在某些情况下,能够实际访问许多英特尔驱动设备的攻击者可能会造成破坏。
CSME对车载硬件系统进行了大量的验证. 更重要的是,该博客说,英特尔CSME是英特尔开发并在任何地方使用的硬件安全技术的密码基础,如DRM(数字权限管理)、FTPM(基于固件的模块,存储密码密钥)和英特尔身份保护。
“这种脆弱性危及英特尔为建立信任之根所做的一切,并在公司平台上奠定坚实的安全基础,”积极技术公司表示。 “问题不仅在于无法修复微处理器和芯片组的掩码ROM中硬编码的固件错误。 更大的担忧是,由于这种漏洞允许在硬件层面上妥协,它破坏了整个平台的信任链。
该漏洞不影响最新的第十代英特尔处理器。
英特尔自2019年5月发布安全咨询(CVE-2019-0090)以来,就已经知道CSME的问题。 它披露了IntelCSME、服务器平台服务(Intel®SPS)、可信执行引擎(IntelTX E)和主动管理技术(IntelAMT)中存在多个潜在的安全漏洞,这些漏洞可能允许攻击者升级特权、披露信息或导致拒绝服务。 当时它发布固件和BIOS更新。
然而,正技术公司说,CVE-2019-0090的补丁只涉及一个潜在的攻击向量,涉及集成传感器集线器(IS H)。 “我们认为,在ROM中利用这一漏洞可能有许多方法。 其中一些可能需要本地访问;另一些则需要物理访问。
在给IT世界加拿大的一封电子邮件中,PosiveTechnolgy建议用户禁用基于IntelCSME的数据存储设备加密。 这可以通过拒绝Windows位锁定器加密通过英特尔PTT和使用密码输入每次或单独的USB令牌来实现。 也就是说,只需更改位锁定器加密设置。
它还建议用户联系他们的设备或主板制造商的微芯片或BIOS更新,以解决漏洞,并遵循英特尔提供的缓解建议。
当被问及对博客的评论时,英特尔强调了其2019年与CVE-2019-0090相关的安全指导。 这包括“一旦更新可用就立即安装,并不断保持警惕,以检测和防止入侵和剥削。
“最终用户应保持对其平台的实际占有。
在其分析中,积极技术说,许多英特尔系统的启动ROM中的早期漏洞能够控制芯片组密钥的读取和所有其他加密密钥的生成。 其中一个键是完整性控制值Blob(ICVB)。 使用此密钥,攻击者可以伪造任何IntelCSME固件模块的代码,其方式是真实性检查无法检测到。
“这在功能上相当于违反英特尔CSME固件数字签名的私钥,但仅限于特定的平台,”博客说。
所有这些都会导致系统的EPID(增强隐私ID)出现问题。 EPID是一种远程认证可信系统的程序,允许识别单个计算机. 根据积极技术,问题“暂时还不算太坏”,因为芯片组密钥存储在平台内的一次性可编程(O TP)内存中,并被加密。 为了完全破坏EPID,黑客需要提取用于加密芯片组密钥的硬件密钥,该密钥驻留在安全密钥存储(S KS)中。
但是,博客补充说,这个键不是特定于平台的。 一个密钥用于整代英特尔芯片组。 由于ROM漏洞允许在SKS的硬件密钥生成机制被锁定之前抢占代码执行的控制,并且ROM漏洞无法修复,“我们认为提取此密钥只是时间问题。
“当这种情况发生时,彻底的混乱将占主导地位。 硬件ID将被伪造,数字内容将被提取,来自加密硬盘的数据将被解密。