Intel Kaby Lake e Skylake a rischio hack, basta una porta USB 3.0

Cosimo Alfredo Pina -

Arriva da Positive Technologies, azienda specializzata in sicurezza aziendale, l’allarme su una falla dei processori Intel più recenti che permetterebbe ad un potenziale malintenzionato di prendere controllo del computer senza lasciare traccia.

Il problema, dimostrato durante lo scorso Chaos Communication Congress (CCC) di Amburgo, risederebbe nella nuova interfaccia di debug introdotta sugli Skylake e presente anche sui Kaby Lake.

Nelle vecchie generazioni di processori Intel per effettuare il debug JTAG – che permette di controllare lo stato dell’hardware o dei driver, oppure prendere il controllo del PC per scopi forensi – si doveva ricorrere ad apposite interfacce collegate alla scheda madre.

Adesso il tutto passa da una porta USB 3.0, con il nuovo protocollo Direct Connect Interface (DCI). Come ha spiegato Positive Technologies, è proprio un bug in questo protocollo quello che permetterebbe, ovviamente a patto di avere fisicamente accesso al PC, di prendere controllo del computer piuttosto facilmente e senza lasciare traccia.

Questi meccanismi di debug possiedono scopi legali, come speciali funzioni per la configurazione hardware e altri vantaggi. Tuttavia ora questi meccanismi sono disponibili anche per i criminali poiché realizzare attacchi di questo tipo non richiede più risorse dello stato o attrezzature notevolmente specializzate

Maksim Goriaciy e Mark Ermolov di Positive Technologies

Intel ha risposto al report dell’azienda spiegando che questa evenienza è rara e che se un malintenzionato avesse accesso al nostro PC potrebbe comunque manometterlo. Inoltre gli esperti hanno già proposto alcune soluzioni, basate su BootGuard, che speriamo possano essere implementate come semplici aggiornamenti software/firmware.


Una ricerca di Positive Technologies rivela che il meccanismo di debug nei processori Intel permette di prendere il controllo dei computer tramite porta USB

 

Milano, 25 Gennaio 2017Positive Technologies – produttore leader nella fornitura di soluzioni di sicurezza aziendale, gestione delle vulnerabilità, analisi delle minacce e protezione delle applicazioni – ha recentemente rivelato che l’interfaccia di debug nei processori Intel può consentire di acquisire il controllo dei computer mediante porta USB 3.0. L’azienda ha recentemente illustrato questa vulnerabilità, così come le soluzioni per farne fronte, alla conferenza Chaos Communication Congress (CCC) di Amburgo.

 

I moderni processori Intel contengono un’interfaccia di debug, accessibile dalle porte USB 3.0, che può essere utilizzata per acquisire pieno controllo sul sistema ma che può essere anche sfruttata per realizzare attacchi non rintracciabili dai sistemi di sicurezza moderni.

 

Gli esperti di Positive Technologies hanno analizzato e illustrato nella loro presentazione uno dei meccanismi. L’interfaccia di debug JTAG (Joint Test Action Group), ora accessibile via USB, ha il potenziale di attivare attacchi pericolosi e virtualmente difficili da identificare. JTAG lavora sotto lo strato del software allo scopo di realizzare un debug dell’hardware, del nucleo del sistema operativo, dell’hypervisor e del driver. L’accesso al microprocessore di un computer può essere però anche utilizzato per scopi di manomissione.

 

Nei vecchi processori Intel l’accesso a JTAG richiedeva il collegamento di un dispositivo speciale tramite il connettore di debug alla scheda madre (ITP-XDP) e ciò rendeva complicato l’accesso sia per la risoluzione dei problemi sia per potenziali aggressori.

 

A partire dai processori Skylake lanciati nel 2015, Intel ha implementato la tecnologia Direct Connect Interface (DCI) che consente l’accesso all’interfaccia di debug (JTAG) tramite la porta USB 3.0 largamente utilizzata. Non è necessario avere software o hardware specifici bensì attivare l’interfaccia DCI. Come hanno dimostrato i ricercatori di Positive Technologies ciò può essere realizzato in diversi modi e su diversi computer; DCI è attivato, pronto all’uso e non bloccato di default.

 

Alla conferenza CCC gli esperti di Positive Technologies hanno presentato anche un video in grado di dimostrare la facilità con cui alcuni criminali sono stati in grado di accedere completamente al processore tramite questa vulnerabilità. Secondo i ricercatori di Positive Technologies accessi illegali nei processori Intel possono dare origine a nuovi attacchi Bad USB ma con un livello di infiltrazione ancora più profondo e pericoloso.

 

 

 

A conclusione del congresso gli esperti dell’azienda hanno proposto una serie di misure di sicurezza basate sull’utilizzo di BootGuard per impedire l’attivazione dell’interfaccia di debug.

 

“Questi meccanismi di debug possiedono scopi legali, come speciali funzioni per la configurazione hardware e altri vantaggi. Tuttavia ora questi meccanismi sono disponibili anche per i criminali poiché realizzare attacchi di questo tipo non richiede più risorse dello stato o attrezzature notevolmente specializzate” hanno concluso gli esperti di Positive Technologies Maksim Goriaciy e Mark Ermolov.