Nowy sposób ataku bardziej niebezpieczny niż Stuxnet

| Bezpieczenstwo IT
Voicelok

Badacze z firmy Positive Technologies ostrzegają, że mechanizm debugujący obecny w niektórych procesorach Intela pozwala na przejęcie pełniej kontroli nad systemem i przeprowadzenie ataków, które nie zostaną wykryte przez współczesne narzędzia zabezpieczające. Problem stanowi fakt, że interfejs wspomnianego mechanizmu jest dostępny za pośrednictwem portu USB 3.0.

Ataku można dokonać wykorzystując interfejs JTAG. Jest on używany od wielu lat do wyłapywania i poprawiania błędów. Zdaniem Maxima Goryachy'ego i Marka Ermolova udostępnienie JTAG za pośrednictwem USB to poważny błąd, gdyż znakomicie ułatwia przeprowadzenie bardzo niebezpiecznego niemożliwego do wykrycia ataku. W starszych modelach procesorów dostęp do JTAG był możliwy dopiero po podłączeniu specjalnego urządzenia do odpowiedniego portu na płycie głównej. Jednak wraz z debiutem procesorów Skylake w 2015 roku Intel wprowadził do użytku Direct Connect Interface (DCI), który daje dostęp do JTAG za pośrednictwem portów USB 3.0.

Do przeprowadzenia ataku nie jest potrzebne manipulowanie ani oprogramowaniem ani sprzętem. Wystarczy, że na atakowanej maszynie udostępniono interfejs DCI. Goryachy i Ermolov odkryli, że istnieje kilka sposobów na włączenie DCI, a w wielu komputerach interfejs ten jest domyślnie udostępniony. Goryachy, pytany o sposób przeprowadzenia ataku, mówi: Istnieje wiele metod. Napastnik może, na przykład, zmienić konfigurację BIOS-u gdy będzie miał fizyczny dostęp do płyty głównej podczas jej produkcji, przechowywania czy używania przez konkretną osobę. Jego zdaniem atak za pośrednictwem DCI jest groźniejszy, niż osławiony Stuxnet. Ten mechanizm może zostać wykorzystany niezależnie od systemu operacyjnego. Stuxnet infekował maszyny z Windows, DCI można wykorzystać do ataku na każdy system z intelowskim procesorem z serii U. Są one używane w laptopach czy komputerach NUC. Obecnie żaden z dostępnych systemów bezpieczeństwa nie jest w stanie wykryć takiego ataku. Poinformowaliśmy Intela o problemie. Obecnie atak można przeprowadzić wyłącznie na procesory z serii U.

DCI JTAG debugger Stuxnet atak