Onderzoekers vinden en misbruiken nieuwe feature in Intel-chipsets

Beveiligingsonderzoekers van Positive Technologies hebben tijdens de beveiligingsconferentie Black Hat Asia 2019 bekendgemaakt een functie te hebben ontdekt in chipsets van Intel. De functie was eerder onbekend en niet gedocumenteerd. 

Het gaat om Intel Visualization of Internal Signal Architecture (VISA), meldt ZDNet. VISA zit volgens onderzoekers Maxim Goryachy en Mark Ermolov in moderne chipsets van het bedrijf, om te helpen met het testen en debuggen op productielijnen. VISA is onderdeel van de Platform Controller Hub (PCH) chipset als onderdeel van moderne Intel CPU’s en werkt als een volledige logic signal analyzer.

Volgens de twee onderzoeker onderschept VISA elektronische signalen die verzonden worden van interne buses en randapparatuur naar de PCH en later naar de algemene CPU. De functie komt echter met een nadeel: ongeautoriseerde toegang tot de VISA-functie stelt een aanvaller in staat om data van het computergeheugen te onderscheppen, en om spyware te maken die op het laagst mogelijke niveau werkt.

Misbruik

Er is echter heel weinig bekend over de nieuwe technologie. Volgens de onderzoekers is de documentatie van VISA onderhevig aan een geheimhoudingsverklaring, en daardoor niet beschikbaar voor het grote publiek. Dit betekent echter niet dat Intel-gebruikers veilig zijn voor mogelijke aanvallen en misbruik.

De onderzoekers stellen namelijk meerdere methodes te hebben gevonden om VISA aan te zetten en het te misbruiken om data te bekijken die door de CPU komt, en zelfs door de geheimzinnige Intel Management Engine (ME) komt. Hun techniek vereist bovendien geen hardware-matige aanpassingen aan het moederbord van een computer en geen specifieke apparatuur.

De meest eenvoudige methode bestaat uit het gebruiken van kwetsbaarheden die beschreven staan in de Intel-SA-00086 security advisory om controle te nemen van de ME, waarna VISA aangezet kan worden. Die kwetsbaarheid is volgens een woordvoerder van Intel al opgelost in 2017, al stelt Ermolov dat die patches niet voldoende zijn. Intel-firmware kan namelijk downgraded worden naar kwetsbare versies, waarbij de aanvallers Intel ME kunnen overnemen en VISA aan kunnen zetten.

Daarnaast zijn er drie andere manieren om VISA aan te zetten. Die methodes worden bekend als de organisatie van Black Hat de presentatie van de onderzoekers publiceren. Dit moet in de komende dagen gebeuren.

Geen kwetsbaarheid

Ermolov stelt overigens dat VISA geen kwetsbaarheid is in de chipsets, maar slechts een nieuwe manier waarop een nuttige functie misbruikt kan worden en tegen gebruikers opgezet kan worden. De kans dat VISA misbruikt wordt is bovendien klein. Als iemand de moeite neemt om de kwetsbaarheden te misbruiken om Intel ME over te nemen, dan gebruiken ze dat component waarschijnlijk om hun aanval uit te voeren, in plaats van VISA.