据您的观察方式,称为内部信号体系结构可视化的英特尔技术(即VISA)可能是一项功能,也可能是一项错误。它存在于基于Intel的计算机系统的平台控制器中枢(PCH)中,并由英特尔管理引擎控制。VISA技术的作用是提供灵活的信号分析处理器,可用于调试计算机硬件,主要是计算机系统板。
控制VISA技术的英特尔管理引擎是一款小巧,低功耗的嵌入式计算机,可运行MINIX操作系统的修改版本。虽然英特尔没有谈论IME,但它的存在已经有几年了。去年,Positive Technologies的安全研究人员发现了VISA技术的存在。
英特尔确实有关于VISA技术的文档,但它受到NDA的保护,并且访问受到严格控制。然而,Positive Technologies的两位研究人员,Maxim Goryachy和Mark Ermolov报告说,他们已经发现了VISA技术的功能,他们已经找到了启用它的方法,并使用这些数据来发现计算机系统的内部工作原理。包含它。
研究人员于3月28日在黑帽亚洲公布了他们的研究结果。他们说,他们之前发现的一个漏洞(INTEL-SA-00086)允许他们在英特尔管理引擎中运行未签名的代码,这也允许他们访问VISA硬件。 。
通常,VISA在商业计算机系统上被禁用,但Positive Technologies团队能够使用他们对IME的访问来启用它。一旦他们有权访问,他们就能够辨别出有关PCH的详细信息,并且他们能够从中发现计算机及其外围设备中的数据能够被读取。从本质上讲,他们可以完全访问计算机上的所有内容。
为了回应这一消息,英特尔宣布2017年对管理引擎的更新使攻击无法进行。然而,研究人员还表示,可以将固件降级到早期版本,并且仍然可以访问VISA硬件及其可访问的数据。
在回答问题时,Goryachy和Ermlov告诉每周电脑报,该漏洞仅影响6电子邮件TH-代及以后的Intel处理器,包括SKYLAKE微架构和Kaby湖,他们表示,将在未来的英特尔处理器。他们写道:“这是一种调试技术,但它仅供公众内部使用。”
可以帮助检测推测执行攻击
除了用于制造环境中的测试之外,他们还揭示了VISA技术存在的基本原因之一。x86研究人员会发现它很有用,但最重要的是,它可能提供一种检测投机性执行攻击的方法,例如Meltdown和Spectre。
“研究推测性执行时的主要问题是从硬件获得反馈。这项技术提供了一种观察CPU / SoC内部状态的确切方法,并确认任何假设,“他们在电子邮件中说。
考虑到继续发现投机性执行漏洞,并且其严重性已经增加,能够检测到此类攻击可能是对抗此类事件的重要工具。
同时,开发防止此类攻击的工具也很重要,这需要详细了解VISA技术如何工作以及如何实现。Goryachy和Ermolov在他们的Black Hat演示文稿中提供了这些信息,当您查看实际幻灯片时,您可以看到他们在此过程中使用的XML 。
对于那些(像我一样)非常讨厌的人来说,这个演示文稿会让人着迷。我的猜测是,英特尔的下一步将是找到一种方法来防止降级固件,这反过来又会阻止至少部分漏洞被利用的方式。
需要物理访问VISA技术
对于其他人来说,您需要知道的是,获得VISA技术访问权的唯一方法(至少现在)是对所涉及的计算机进行物理访问。但是一旦到那里,攻击者可能需要的只是访问USB端口。研究人员展示了如何在他们的演示中做到这一点。
但其他研究表明,通过网络连接可以访问管理引擎。如果情况确实如此,那么远程黑客就变得可能,因为不再需要物理访问。
这告诉你的是,物理安全仍然至关重要。现在很清楚,具有物理访问权限的威胁演员可以找到一种方法来以比您之前所知更多的方式吸收数据。但这也意味着您需要监控您的网络,尤其是那些包含具有关键数据的计算机的网段,并在它们开始时查找入侵 - 而不是在它们已经在进行的某个时刻。
与此同时,人们希望英特尔能够找到一种永久禁用其芯片和系统板离开生产线时不需要的功能的方法。
