Специалисты компании Positive Technologies обнаружили в процессорах Intel Pentium, Celeron и Atom на платформах 2016, 2017 и 2019 годов Apollo Lake, Gemini Lake и Gemini Lake Refresh новую уязвимость, которая получила обозначение CVE-2021-0146. Она позволяет неаутентифицированным пользователям активировать режимы тестирования и отладки у перечисленных групп процессоров. В этом режиме злоумышленник может получать данные с системы в обход средств защиты, а также интегрировать в нее шпионские утилиты. При этом изначально доступ к этим режимам работы устройств должны иметь только инженеры Intel.
По словам эксперта Positive Technologies Марка Ермолова, с технической точки зрения уязвимость обусловлена «наличием избыточно привилегированного отладочного функционала, который не защищен должным образом». Во избежание таких ошибок в будущем производителям следует более тщательно подходить к обеспечению безопасности отладочных механизмов, так они потенциально могут использоваться для обхода встроенной защиты, считает он.
— Используя данную уязвимость, атакующий может извлечь ключ шифрования и получить доступ к информации внутри ноутбука. Также ошибка может эксплуатироваться в целевых атаках через цепочку поставок. Например, сотрудник поставщика оборудования на процессорах Intel теоретически может извлечь ключ для прошивки Intel CSME и внедрить программу-шпион на уровне Intel CSME, которая не будет выявляться средствами защиты на уровне ПО, — говорит эксперт.
Группы уязвимых процессоров, отмечают специалисты, сегодня используются в широком спектре устройств. В основном это ультракомпактные ноутбуки, встраиваемые компьютеры и маломощные офисные решения. В группе риска также находится множество устройств из сферы интернета вещей (IoT) — по данным исследования Mordor Intelligence, Intel занимает четвертое место на рынке чипов для IoT. Некоторые серии уязвимых Intel Atom используются автопроизводителями в более 30 моделях, включая Tesla Model 3.
— Указанные процессоры могут применяться в составе различного рода импортируемых и отечественных программно-аппаратных комплексах защиты информации. Наличие у поставщиков данных процессоров сведений о конечных потребителях, например о субъектах критической инфраструктуры РФ, может оказаться весьма опасным, — считает руководитель департамента информационной безопасности Информационной внедренческой компании (ИВК) Игорь Корчагин.
Обнаруженная проблема в России потенциально опасна только для сверхважных систем, которые представляют интерес для западных спецслужб, считает руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Обычным пользователям, по его словам, переживать не стоит.
— Использование данной уязвимости «в дикой природе» маловероятно. Если она и будет применяться, то точечно различными спецслужбами. К тому же в России идет процесс импортозамещения и пользователи уходят с платформ Intel. В Positive Technologies лишь в очередной раз подтвердили, что массовые западные продукты могут быть уязвимы, — говорит эксперт.
Несмотря на высокий уровень потенциальной угрозы обнаруженной уязвимости, большинство экспертов по информационной безопасности пока сомневаются, что она будет использоваться «обычными» злоумышленниками. Как минимум потому, что это требует от киберпреступника физического доступа к системе.
— Новая уязвимость предполагает возможность провести атаку, но она получается слишком трудоемкой — необходимо физическое воздействие на чипсет. Это существенно усложняет и удорожает атаку. Например, придется вклиниться в цепочку поставок, а это сделать не так легко, — говорит Павел Коростелев.
О случаях, в которых злоумышленниками использовалась эта или аналогичная ей «сложная» уязвимость, специалисту не известно. Однако он не исключает, что такие атаки проводились спецслужбами.
Похожего мнения придерживается и эксперт по кибербезопасности «Лаборатории Касперского» Борис Ларин. Он говорит, что необходимость физического доступа к системе значительно снижает риск использования уязвимости — злоумышленники предпочитают использовать уязвимости, предоставляющие удаленное выполнение кода на взламываемом устройстве.
— Если говорить без привязки к CVE-2021-0146 — на мой взгляд, имея физический доступ, злоумышленники не пренебрегут им воспользоваться для достижения своих целей. Злоумышленники, как правило, выбирают путь наименьшего сопротивления, — говорит он.
Впрочем, в Positive Technologies придерживаются менее позитивного мнения. Марк Ермолов считает, что использование данной проблемы хакерами вполне возможно, поскольку эта процедура не требует специализированного оборудования.
— Да, нужен отладочный USB3-кабель, но его можно купить в любом специализированном магазине или даже изготовить самостоятельно — инструкций в открытом доступе масса. Однако нужно знать специальный ключ шифрования, с помощью которого зашифровываются security fuses, так называемый hardware encryption key. На данный момент у нас нет свидетельств, что этот ключ был извлечен из уязвимых платформ, — говорит он.
Также эксперт не исключает появления в Сети гайда для использования этой уязвимости после публикации ее технических деталей. Однако на данный момент их практически нет. О случаях использования уязвимостей такого рода хакерами эксперту тоже не известно.
В российском представительстве Intel «Известиям» сообщили, что компания в курсе обнаруженной уязвимости и не знает о каких-либо случаях ее эксплуатации. Для снижения риска атак с использованием CVE-2021-0146 пользователям рекомендуют регулярно обновлять системы до последней версии микропрограммного обеспечения, выпускаемого производителями конечных устройств, и защищать их от несанкционированного физического доступа.
Потенциальные жертвы атак с использованием CVE-2021-0146 никак не могут себя защитить, считает Павел Коростелев. Единственным решением, по его словам, является отказ от платформы или замена уязвимых процессоров на более старые модели, у которых нет такой сложной логики управления.
Как сообщалось выше, уязвимые процессоры используются в целом ряде устройств. Так, в IT-компании ИВК отметили, что в ее офисном парке компьютеров используются системы на основе некоторых уязвимых платформ. Там отметили, что будут действовать исходя из условий политики безопасности — регулярно отслеживать сообщения об уязвимостях и быстро устанавливать появляющиеся обновления.
Эксперт по информационной безопасности, представитель CISO Club Антон Ленский объяснил, что обычно при возникновении таких ситуаций сначала происходит оценка рисков. Если выясняется, что потенциальный ущерб от уязвимости превышает расходы на замену парка устройств, замена происходит. В иных случаях специалисты принимают технические и организационные меры для снижения вероятности использования новой уязвимости.
Роман Кильдюшкин