Onderzoekers van het beveiligingsbedrijf Positive Technologies zeggen volledige toegang tot de Intel Management Engine te hebben verkregen via usb. Zij deden dit met behulp van jtag debugging.

In een Engelse vertaling van hun oorspronkelijke blogpost schrijven de onderzoekers dat hun ontdekking betekent dat er via elke usb 3.0-poort toegang mogelijk is tot jtag debugging via dci. Die laatste techniek, ook wel bekend als Intels Direct Connect Interface, is een van drie manieren om toegang te krijgen tot deze manier van debugging, die vergaande toegang toestaat. Dci is aanwezig bij Intel-processors vanaf de Skylake-generatie, aldus de onderzoekers.

De Intel Management Engine is een aparte microcontroller die deel uitmaakt van de Platform Controller Hub, oftewel pch,van Intel-cpu's, die toegang heeft tot de communicatie tussen cpu en randapparaten. Deze aparte processor werkt los van de cpu zelf en is daarom toegankelijk als de cpu zelf is uitgeschakeld. Als kwaadwillenden toegang krijgen tot de Management Engine, betekent dit volgens de onderzoekers dat een systeem volledig overgenomen kan worden.

Ze zijn van plan om een dergelijke aanval in december op een beveiligingsconferentie te demonstreren, waarbij ze ongesigneerde code draaien op de pch op elk moederbord dat Skylake of later ondersteunt. Daarbij blijft het systeem stabiel, waardoor een doelwit niets hoeft te merken. Malware die deze techniek toepast, kan blijven bestaan ondanks herinstallaties op bios-updates. De precieze details ontbreken bij de huidige ontdekking dus nog.

De onderzoekers van Positive Technologies kwamen er eerder achter hoe de Intel Management Engine uit te schakelen is. Deze wordt door critici ook wel als backdoor aangeduid en Google werkt aan een vervanging. Ook kwamen ze erachter dat het systeem op een aangepaste versie van Minix draait. Daarvan wist Minix-ontwikkelaar Andrew Tanenbaum niets af, zo schreef hij deze week in een reactie.

 

Reacties mogelijk gemaakt door CComment