Möglicher Missbrauch: Forscher entdecken nicht dokumentierte Funktion von Intel-Chipsätzen

Intel VISA dient eigentlich der Fehleranalyse während der Produktion. Die Technik hat Zugriff auf die Kommunikation mit der CPU. Angreifer könnten indes beispielsweise Speicherinhalte auslesen. Die Forscher zeigen mehrere Methoden, um Intel VISA zu aktivieren und zu missbrauchen.

Forscher von Positive Technologies haben auf der Sicherheitskonferenz Black Hat Asia 2019 eine nicht dokumentierte und bisher unbekannte Funktion von Intel-Chipsätzen vorgestellt. Die Virtualization of Internal Signals Architecture (Intel VISA) genannte Technik ist in allen modernen Intel-Chipsätzen enthalten und soll bei Tests und Fehleranalysen während der Produktion helfen. Sie befürchten einen Missbrauch durch Cyberkriminelle.

Bug (Bild: Shutterstock)VISA ist demnach ein Teil des Platform Controller Hub (PCH) und soll wie ein vollwertiger Logic Signal Analyzer funktionieren. Den Forschern Maxim Goryachy und Mark Ermolov zufolge fängt VISA alle Signale ab, die von internen Bussen und Peripherie-Geräten wie Bildschirm, Tastatur und Webcam an den PCH und an die CPU geschickt werden.

Die Forscher befürchten nun, dass sich Angreifer einen nicht autorisierten Zugang zur VISA-Funktion verschaffen könnten. Dadurch wären sie in der Lage, Daten vom Computer-Speicher abzufangen und Schadsoftware zu entwickeln, die auf der untersten Ebene arbeiten würde.

Über die VISA-Technik ist indes wenig bekannt. Die Dokumentation hält Intel unter Verschluss beziehungsweise gibt sie nur gegenüber Partnern preis, die eine Verschwiegenheitserklärung unterzeichnet haben. Die Geheimhaltung rund um VISA sollte also eigentlich ausreichend sein, um Nutzer vor einem Missbrauch von VISA zu schützen.

Den beiden Forscher haben jedoch verschiedene Methoden gefunden, um VISA zu aktivieren und Daten auf dem Weg hin zur CPU abzufangen, und zwar mit Hilfe der Intel Management Engine (ME). Sie wiederum ist ebenfalls ein Bestandteil des PCH, und zwar seit der Einführung der Nehalem-Prozessoren und der Serie-5-Chipsätze.

Intel betonte, dass die Funktion sicher sei. Ein Sprecher des Unternehmens erklärte gegenüber ZDNet USA, dass der auf der BlackHat-Konferenz gezeigte Angriff einen physischen Zugriff auf einen PC voraussetze und eine bereits im November geschlossene Sicherheitslücke nutze.

Die Forscher beharren indes darauf, dass ein Missbrauch möglich ist. Zum einen sei es möglich, ein Firmware-Downgrade durchzuführen und somit die bekannte Schwachstelle wieder freizuschalten. Zum anderen gebe es weitere drei Methoden, um VISA zu aktivieren. Sie sollen in den kommenden Tagen veröffentlicht werden.

Ermolov stellte außerdem klar, dass VISA keine Schwachstelle in Intel-Chipsätzen sei. Es sei aber eine an sich sinnvolle Funktion, die sich missbrauchen und gegen Nutzer einsetzen lasse. Auch sei die Wahrscheinlichkeit von Angriffen auf VISA gering. Angreifer hätten mit dem Zugriff auf Intel ME eigentlich bereits alle Werkzeuge zur Hand, um ihre Ziele umzusetzen.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Themenseiten: Chipsätze, Intel, Prozessoren, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Möglicher Missbrauch: Forscher entdecken nicht dokumentierte Funktion von Intel-Chipsätzen

Kommentar hinzufügen
  • Am 30. März 2019 um 9:00 von Sunny Marx

    Nun, bei den ganzen Meldungen über Intel und ihre gutgläubigen Ansätze, werde ich wohl beim nächsten Prozessor-Upgrade wieder komplett zu AMD wechseln. Mit denen bin ich über einige Jahre immer sehr gut gefahren. Und die ZEN-Prozessoren machen ja nun auch wirklich Spaß, wenn man sich diverse Tests anschaut. Von daher werde ich wieder zum günstigeren und weniger anfälligen AMD-Prozessor wechseln. Dann braucht es auch keine verkorksten Micro-Code-Updates mehr.

  • Am 31. März 2019 um 16:44 von felix1

    jeder chiphersteller -und zwar ausnahmslos jeder- testet im herstellungsprozess bestimmte parameter. fällt eine struktur aus, wird im nächsten maskierungsprozess eine redundant angelegte struktur freigeschaltet, um die finale funktionsvielfalt des produktes nicht zu gefährden (zb. werden fehlerhafte 1.level-cache-lines auf reserve umverdrahtet). immerhin müssen ja einige milliarden transistoren fehlerfrei arbeiten, keiner darf ausfallen.
    summa summarum keine wirklich brisante erkenntnis, ausser, dass man sie entdeckt hat bzw. jedermann darauf zugreifen kann, falls er so schlau ist.

  • Am 1. April 2019 um 12:53 von Mimi

    …und jetzt wissen die Bösen Bescheid. Warum solche brisante Dinge nicht in vertrauter Runde besprechen?
    Solche Schwachstellen sollten wirklich nicht an die große Glocke gehängt werden damit sich kriminelle Energie fokussieren können.

    • Am 1. April 2019 um 14:14 von Hi, hi...

      …da ein physischer Zugriff notwendig ist, solltest Du Dir nicht so große Sorgen um die „Bösen“ im herkömmlichen Sinn machen, sondern eher um die staatlich geförderten.

  • Am 1. April 2019 um 22:39 von Mimi

    …oh, hat jemand gleich verstanden :)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *