Intel-Prozessoren: Hardware-Sicherheitsschlüssel in Gefahr
Eine komplizierte Sicherheitslücke in vielen bisherigen Intel-Prozessoren könnte lokalen Angreifern Zugriff auf den zentralen Krypto-Schlüssel gewähren.
Laut Experten der russischen Firma Positive Technologies (PTE) bedroht eine transiente Sicherheitslücke, die kurzzeitig beim Booten des Systems offensteht, einen wichtigen Hardware-Sicherheitsschlüssel von Intel-Prozessoren aus den vergangenen Jahren. Diesen "Hardware Key" haben die Sicherheitsforscher zwar nicht geknackt, halten ihn aber für bedroht.
Falls das stimmt, hat das große Auswirkungen, weil Intel den ROM-Code, der den Hardware-Key erzeugt, nicht durch Updates ändern kann. Außerdem ist der Hardware Key für Millionen von Prozessoren identisch; er müsste also nur einmal extrahiert werden, um Funktionen auf allen betroffenen Systemen kompromittieren zu können. Allerdings ist für einen Angriff auf den Hardware-Key physischer Zugriff auf einen Computer nötig. Und bei den jüngsten 10-Nanometer-Prozessoren besteht das Risiko nicht mehr.
Intel hat bereits im Mai 2019 im Security Advisory Intel-SA-00213 auf diese Sicherheitslücke CVE-2019-0090 reagiert; ihr Risiko ist als "hoch" eingestuft (CVSS Base Score 7.1). Updates für die Firmware der sogenannten Converged Security and Management Engine (CSME), die bei vielen Systemen in BIOS-Updates integriert wurden, sollen Angriffe auf den Hardware Key erschweren.
Schlüssel im Prozessor
Schon seit vielen Chip-Generationen enthalten Intel-Prozessoren eingebettete kryptografische Schlüssel. Diese dienen als Vertrauensanker (Root of Trust), um die Integrität der ausgeführten Firmware zu prüfen, etwa die des UEFI-BIOS und der sogenannten Management Engine.
Diese ME oder auch CSME – bei Atoms spricht Intel auch von CSE – nutzt Intel wiederum für sicherheitskritische Funktionen wie ein Firmware-TPM (fTPM 2.0), aber auch für Digital Rights Management (DRM: PAVP, HDMI/HDCP), für die Überwachung von Grenzwerten (Übertemperatur, Taktfrequenzen) sowie zur Festlegung des Funktionsumfangs des jeweiligen Chips.
Schlüssel-Schutz
(Bild: Intel)
Die ME hat einen sehr kleinen, eigenen SRAM-Speicherbereich und nutzt im Betrieb einige Megabyte des normalen Hauptspeichers mit. Damit Schadsoftware das ME-SRAM nicht manipulieren kann, ist dessen Adressbereich normalerweise nicht durch normale Software erreichbar: Eine I/O Memory Management Unit (IOMMU) des sogenannten Minute IA System Agent (MISA) blockiert den Zugriff auf das SRAM.
Wie Mark Ermolov von PTE in einem Blog-Eintrag erklärt, hat er durch simples Lesen der Datenblätter herausgefunden, dass der IOMMU-Schutz des SRAM erst kurz nach dem Systemstart greift. In der kurzen Phase davor könnte Schadsoftware per DMA den Code im ME-SRAM manipulieren, um letztlich den erwähnten Hardware-Key zu verändern.
Damit wiederum könnten sich weitere Schlüssel und digitale Zertifikate erbeuten lassen, etwa der Chipset Key, um letztlich an die Enhanced Privacy ID (EPID) zu kommen. Die EPID spielt auch für Intels Software Guard Extensions (SGX) für ein Trusted Execution Environment (TEE) im RAM eine Rolle.
Ermolov erwähnte vor einiger Zeit ein bestimmtes, mehrtausendseitiges Datenblatt für Atom-, Celeron-N- und Pentium-Silver-Prozessoren der Generation Apollo Lake aus dem Jahr 2016. "Volume 3" dieses Datenblatts, das unter anderem die Tabelle 27-8 mit Registern der CSE-MISA enthält, ist mittlerweile nicht mehr auf öffentlichen Intel-Servern zu finden.
CSME-Firmware weiter untersucht
Mark Ermolov und Maxim Goryachy (alias h0t_max) von PTE sind Spezialisten für Intels ME/CSME/CSE und haben sie über einen gehackten USB-Debugging-Zugang schon weit erforscht. Kürzlich hat Ermolov getwittert, auch für Prozessoren mit der CSME-Generation 12 das JTAG-Debugging-Level "RED" freigeschaltet zu haben. Für die ME-Generation 11 ist das schon Ende 2019 gelungen. (ciw)
