ویژگی مستندنشده جدید تراشههای اینتل راه را برای نفوذ هکرها بازمیکند
پازیتیو تکنالوژیز (Positive Technologies)، شرکتی فعال درزمینهی ارزیابی آسیبپذیریهای امنیتی و مدیریت سازگاری و تجزیهوتحلیل، اعلام کرد بازهم ویژگی مستندنشدهی دیگری در تراشههای اینتل مشاهده کرده است. این شرکت در گذشته نیز، با تنظیمات مستندنشدهای در پیکربندی این تراشهها برخورد کرده بود که اینتل آن را بهصورت ویژه برای آژانس امنیت ملی وابسته به وزارت دفاع ایالات متحدهی آمریکا طراحی کرده بود. قابلیت جدید VISA این فرصت را دراختیار مهاجمان قرار میدهد که به پایینترین سطوح دسترسی به پردازندههای اینتل و دادههای درحالپردازش آنها دست یابند. شایان ذکر است VISA بهمعنی تجسمسازی اینتل از معماری سیگنالهای داخلی است.
VISA چیست؟
VISA به مهاجمان فرصت میدهد با استفاده از پایینترین سطوح دسترسی در پردازندههای اینتل، به دادههای در حال پردازش دست یابند
VISA تحلیلکنندهی سیگنالهای منطقی کاملا تکاملیافتهای است که در ریزتراشههای PCH (مرکز کنترلکنندهی پلتفرم) در پردازندهها و مادربوردهای جدید اینتل شناسایی شده است. کارخانهها از این قابلیت برای آزمودن و یافتن اشکالات تراشهها در خطِتولید استفاده میکنند. VISA در نظارت بر سیگنالهای الکترونیکی ارسالشده از گذرگاههای داخلی و واحدهای جانبی بهسمت PCH نیز مؤثر است. مهاجمان از این ویژگی برای ردیابی همهی دادههایی استفاده میکنند که از یک کانال میگذرند.
ماکسیم گوریاچی، کارشناس پازیتیو تکنالوژیز، در بیانیهای گفت:
متوجه شدیم بدون استفاده از تجهیزات خاصی میتوان در مادربوردهای معمولی اینتل به VISA دست یافت. ما با بهرهگیری از این ویژگی توانستیم تاحدی معماری داخلی ریزتراشههای PCH را بازسازی کنیم.
محرمانهبودن VISA
مقالههای مرتبط:
پژوهشگران میگویند اینتل در گذشته بهصورت علنی از وجود این ویژگی در پردازندههای خود حرفی نزده بود و تنها در قرارداد عدمافشا (NDA)، برخی از شرکتها را از وجود آن مطلع کرده بود. خبر خوشحالکننده این است که این حالت بهطور پیشفرض غیرفعال است؛ بهجز در پردازندههای Intel ME که در بیشتر دستگاههای مبتنی بر اینتل از همان ابتدا فعال است. بنابراین، مهاجمان اول باید راهی برای فعالکردن آن پیدا کنند.
دراینمیان، خبر ناراحتکننده این است راهی که پژوهشگران پازیتیو تکنالوژیز برای ازکارانداختن VISA پیدا کردهاند، متکی بر حفرهی امنیتی قدیمی است که در Intel ME وجود داشت. اینتل در سال ۲۰۱۷، وصلهای سفتافزاری (Firmware) منتشر کرد تا این آسیبپذیری را برطرف کند؛ ولی تا سازندهی لپتاپ یا مادربورد شما، سختافزارهای بهروزرسانیشده را برایتان ارسال نکند و شما نیز سیستمهای خود را با استفاده از آنها بهروز نکنید، کامپیوتر همچنان آسیبپذیر باقی خواهد ماند. بهروزرسانی سیستمعامل نمیتواند این باگ را برطرف کند.
جنبهی مثبت این قضیه آن است که اگر مهاجمان نتوانند با استفاده از حفرههای امنیتی موجود Intel ME به سیستم شما راه پیدا کنند، با دستیافتن به VISA هم نمیتوانند کار زیادی از پیش ببرند. بااینحال، اگر مهاجمان در آینده راه دیگری برای فعالکردن VISA حتی در سیستمهای ترمیمشده با وصلههای امنیتی سفتافزارهای Intel ME پیدا کنند، کاربران کامپیوترهای شخصی درمعرض خطرهای جدیدی قرار خواهند گرفت.
خصیصهی VISA در بیشتر پردازندهها بهجز پردازندههای Intel ME، بهطور پیشفرض غیرفعال است
پژوهشگران میگویند آنها سه راه دیگر نیز برای فعالکردن VISA پیدا کردهاند که آنها را طی چند روز آینده، بهصورت اسلایدهای نمایشی در وبسایت Black Hat منتشر میکنند. آنها این خبر را در کنفرانس امنیت سایبری Black Hat Asia 2019 اعلام کردند که از ۲۶ تا ۲۹مارس جاری برگزار شد.
سؤال دیگری که بیجواب باقی مانده این است: «چند ویژگی یا حالت مستندنشدهی دیگر در پردازندههای اینتل وجود دارد که دسترسیهای سطح پایین به سیستمهای کاربران را امکانپذیر میکند؟» شاید اینتل همهی تلاش خود را برای پنهان نگهداشتن آن از دید عموم، بهویژه مهاجمان بکند؛ ولی معمولا تأمین امنیت ازطریق پنهانکاری حاصل نمیشود. مهاجمان باتجربهتری که از منابع متنوع و کافی برای تحقق ایدههای خود بهره میبرند، خودشان بهتنهایی این ویژگیهای محرمانه را کشف میکنند؛ درست همانطورکه پژوهشگران در شرکت پازیتیو تکنالوژیز این کار را کردند.