web-dev-qa-db-ja.com

USBを介したIntelME(CSME)JTAG攻撃を保護/軽減するにはどうすればよいですか?

Ptsecurity.com(Maxim Goryachy @ h0t_max およびMark Ermolov @_ markel ___ )の2人のセキュリティサーチャーが Twitter で発表しました:

ゲームオーバー!私たち(私と@_markel___)は、USB DCIを介してIntel CSME用の完全に機能するJTAGを取得しました。 #intelme #jtag #inteldci

この脆弱性により、コンピューター(USBポート)に物理的にアクセスできる攻撃者がIntel Management Engine(IntelME)およびコンピューター全体を制御する可能性があります。

  • 攻撃ベクトルとは何ですか? (コンピュータへの物理的なアクセスが必要ですか?)

  • どのコンピューター(および構成)が影響を受けますか?

  • そのような攻撃をどのように保護および軽減するのですか?

この攻撃は、Intel CSME(IntelME/AMT)をターゲットにしているようです。同じセキュリティリサーチャー 同様の脆弱性を開示 2017年4月にメインCPU /ファームウェアを対象とします(ただし、この設定はUEFI/BIOSファームウェアでデフォルトで無効になっています)

3
Franklin Piat

インテルの管理エンジンの問題は長年にわたって提起されており、以前から問題がありましたが、これはまだ多くの人にとってニュース速報です。したがって、より多くの情報が利用可能になると、この回答は更新が必要になる場合があります。

攻撃ベクトルとは何ですか? (コンピュータへの物理的なアクセスが必要ですか?)

この特定のケースでは、はい-物理的なアクセスが必要です。ただし、MEの目的の1つはremoteアクセスを許可することであることに注意してください。完全なネットワークスタックとWebサーバーさえ含まれています。

どのコンピューター(および構成)が影響を受けますか?

Intelプロセッサを搭載したものは何年も前に遡ります。元々、MEはノースブリッジに組み込まれ、後でプロセッサに統合されました( ref

Broadwell、Skylake、およびそれ以降が影響を受けます。それより古いシステムはDCI(USB経由でJTAGにアクセスするためのプロトコル)をサポートしていません。これらのシステムにはMEがありますが、USBからはアクセスできません

そのような攻撃をどのようにして保護および/または軽減するには?

マザーボードからUSBのトラックを焼きます!ただし、この問題が解決されるのは、後で発見される可能性のある他の問題ではないことに注意してください。 USB経由で実行できる他の、実際にはおそらくもっと簡単な攻撃があることを忘れないでください。セキュリティの高い使用のためには、USBをオフにするか、保護を強化する必要があります。

幸運にも、AMTをオフにできるBIOSを備えたマザーボードを持っているかもしれません。また、上記のWikipediaの記事では、Windowsのいくつかの緩和策について言及しています。

AMTがオフになっている場合でも、 BIOS設定では、DCI over USBは脆弱なシステムでMEをハイジャックする可能性があります。

AMDチップとマザーボードを使用することも役立つかもしれませんが、実際の証拠はありません。確かにIntelは常にAMTについて非常に密接な関係にあるので、AMDチップセットにはそれがないと思います-独自の解決策がある可能性もあります。

匿名ユーザーは、AMDシステムにAMD PSPと呼ばれる類似のシステムがあることを編集で提案しましたが、USB経由でアクセスできるとは考えていませんでした。

0
Julian Knight