Intel-Prozessoren: undokumentierter Debugging-Zugriff erforscht

Russische Sicherheitsexperten untersuchen über eine Sicherheitslücke der Intel Management Engine den eingebauten Logikanalysator in Intel-Prozessoren.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
Intel Trace Hub (TH) mit Visualization of Internal Signals Architecture (VIS/VISA)

Intel Trace Hub (TH) mit Visualization of Internal Signals Architecture (VIS/VISA)

(Bild: Intel)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Maxim Goryachy und Mark Ermolov von der russischen Sicherheitsfirma Positive Technologies (PTE) zeigen auf der Black Hat Asia im März 2019, wie sie über die von ihnen entdeckte Sicherheitslücke Intel SA-00086 Zugriff auf Intels Debugging-Schnittstelle Visualization of Internal Signals Architecture (VISA) bekommen haben.

VISA beziehungsweise VIS gehört zum sogenannten Trace Hub (TH), den Systems-on-Chip (SoCs) und CPUs von Intel enthalten. Er erleichtert Entwicklern das Debugging von Prozessor, Chipsatz und laufender Software. Im normalen Systembetrieb ist der Trace Hub nicht erreichbar, weil er bestimmungsgemäß auch Zugriff auf sensible Daten ermöglichen würde.

Goryachy und Ermolov berichten in der Ankündigung ihrer Präsentation "Intel VISA: Through the Rabbit Hole", Dutzende öffentlich undokumentierter Funktionen in Intel-Chips entdeckt zu haben. Einige ermöglichen demnach Zugriff auf kritische Daten, etwa auf das Intel On-Chip System Fabric (IOSF), welches einzelne Funktionsblöcke eines Platform Controller Hub (PCH, Chipsatz) beziehungsweise SoC verbindet. Das IOSF hat auch einen Seitenkanal (IOSF Side Band).

Intel hatte die hauseigene Debugging-Architektur unter dem Codenamen Lakemore entwickelt, spricht aber nun vom Trace Hub. Weitere wichtige Funktionsblöcke sind ein eingebauter Logikanalysator (On-Die Logic Analyzer, ODLA) zur Untersuchung von Signalleitungen, Ereigniserkennung (VIS Event Recognition), Time Stamp Correlation Unit (TSCU) und System-on-Chip Performance Counters (SoCHAP).

Intel On-Chip System Fabric (IOSF) am Beispiel des Atom C2000.

(Bild: Intel)

Im November 2017 hatten Goryachy und Ermolov erklärt, wie sie durch die mittlerweile durch BIOS-Updates geschlossene Sicherheitslücke SA-00086 einen Zugriff auf das Direct Connect Interface (USB DCI) zum Debugging via USB bekamen. Darüber haben sie beispielsweise herausgefunden, dass aktuelle Versionen von Intels Converged Security and Management Engine (CSME, zuvor ME) das Betriebssystem Minix auf einem x86-Mikrocontroller nutzen.

Der Proof-of-Concept (PoC) steht mittlerweile auf GitHub bereit: IntelTXE-PoC: Intel Management Engine JTAG Proof of Concept. Demnach muss man beispielsweise den manipulierten BIOS-Code mit einem SPI-Flash-Programmiergerät in den NOR-Flash-Chip des Mainboards schreiben. Das ist also kein Angriff, der nebenbei in wenigen Sekunden oder per Netzwerk passiert.

Intels Trace Hub ist öffentich dokumentiert (PDF-Datei) und auch mit Software-Tools von Intel selbst (Platform Analysis Library, Intel PAL) sowie von anderen Zulieferern nutzbar. Detaillierte Informationen zu VISA verrät Intel aber nur registrierten Entwicklern, die sich einer Geheimhaltungsvereinbarung unterwerfen (Non-Disclosure Agreement, NDA). Das ist ein durchaus übliches Verfahren.

Debugging-Schnittstellen wie JTAG oder MIPI-PTI stecken in praktisch allen Prozessoren und Chipsätzen. Weil sie ein Sicherheitsrisiko darstellen, sofern ein Angreifer physischen Zugriff auf die Maschine hat, sind sie im Normalbetrieb abgeschaltet. Das verlangt beispielsweise auch Microsoft in den Richtlinien für Rechner mit Windows-Logo. (ciw)