元インテルのセキュリティ ドラゴンたちは、古い格言に新たな火を吹き込んだ。「誰かがあなたのマシンに物理的にアクセスすれば、あなたは pwned される」。
元Chipzillaのユーリー・ブリギン氏とアレックス・バザニウク氏によって設立された、米国に拠点を置くEclypsiumは今週、USBベースのシステムデバッグモードを悪用して脆弱なボックスを乗っ取り、Intel搭載のサーバーやワークステーションに対して古典的なEvil maid攻撃を実行することが可能であることを確認した。
つまり、脆弱なマシンのUSBポートにウィジェットを差し込み、巧妙なコードを実行してシステムを乗っ取り、ルートキットやスパイウェアなど、お望みのプログラムをインストールできるのです。そのためには、チップセットの特別なデバッグモードを有効にし、マシンから離れた場所に放置する必要があります。
USBベースのデバッグを悪用したシステム乗っ取りは以前にも報告されています。ここで新たなのは、月曜日にEclypsiumがブログで、Intelが特定のXeon搭載システムに対するUSBベースのデバッグ攻撃を阻止するためのパッチ(具体的には、Direct Connect Interfaceポリシーの更新)をリリースしたと報じたことです。
この脆弱性はCVE-2018-3652と指定され、Chipzillaはこれを元IntelのEclypsium主任研究者Jesse Michael氏が発見したとしている。
インテルは16年間も自社のチップに興味深いセキュリティ欠陥を放置していた。その悪用方法とは?
続きを読む
「第5世代および第6世代インテル Xeon プロセッサー E3 ファミリー、インテル Xeon スケーラブル・プロセッサー、およびインテル Xeon プロセッサー D ファミリーの DCI (ダイレクト・コネクト・インターフェース) に対する既存の UEFI 設定制限により、物理的に限られた存在の攻撃者がデバッグ・インターフェースを介してプラットフォームの秘密にアクセスできる可能性があります」とインテルはアドバイザリで指摘している。
また、デスクトップPCやノートパソコンで使用されるようなクライアントチップは、USBベースのデバッグがデフォルトで無効になる予定であるため、影響を受けないはずだと付け加えています。ご不明な場合は、ファームウェア設定をご確認ください。
Team Eclypsiumによると、「USB経由のデバッグアクセスにより、デバッグポリシーが安全に設定されていないシステムのUEFIファームウェアおよびランタイムSMMファームウェアに永続的なルートキットがインストールされる可能性があります。この脆弱性により、デバイスに物理的にアクセスできる攻撃者は、ケースを開けることなく「Evil Maid」攻撃を実行できる可能性があります。」
繰り返しになりますが、この攻撃はIntel搭載のクライアントコンピュータではなく、Xeonベースのシステムを対象としています。後者の場合は、このビデオで示されているように、ケースを開ける必要があります。
デバッグモードが重要なのは、まさにこの点にあります。デバッグモードを有効にすると、「SMM内でシステムを停止させ、そのコンテキストからメモリに任意の変更を加えることが可能になります。これにより、攻撃者は高度な権限を持つSMM実行を完全に制御できるようになります」とEclypsiumチームは述べています。この時点で、攻撃者はハードウェアを完全に制御できるようになります。
研究者によると、ファームウェア設定で CPU デバッグが「無効かつロック」され、ダイレクト コネクト インターフェイスが無効になっていることを確認する必要があります。「有効にすると、チップセットが USB 経由でデバッグ機能を提供する」ためです。
標的がこれらの制御を怠ると、機器に近づく攻撃者はUSBポートにケーブルを差し込み、スクリプトを使ってマシンを乗っ取ることができます。「攻撃者は独自のマルウェアやルートキットでファームウェアを感染させる可能性があり、ケースを開けることなく実行できます」とチームは警告しています。
つまり、それは世界の終わりではありませんが、物理的なセキュリティと UEFI 設定が重要である理由です。®
