Door een beveiligingsfout in de Intel-chips die de meeste desktop- en laptop-pc's van stroom voorzien, kan een hacker mogelijk gevoelige gegevens ontsleutelen, zelfs op systemen met meerdere beveiligingslagen om een ??dergelijke hack te dwarsbomen.
De fout is een fout in het alleen-lezen geheugen (ROM) van Intel-microprocessors, aldus onderzoekers van Positive Technologies, die het donderdag onthulden.
Het zou iemand met fysieke toegang tot een pc de mogelijkheid kunnen geven om zijn chipsetsleutel te extraheren, in wezen een hoofdwachtwoord dat de rest van het systeem zou kunnen ontgrendelen.
De fout treft alle pc's met Intel-chips van de negende generatie of eerder.
Intel is sinds ten minste mei 2019 op de hoogte van de fout en de nieuwste chips van de tiende generatie bevatten een bijgewerkte Converged Security and Management Engine (CSME) die niet wordt beïnvloed door deze ROM-fouten.
Intel heeft ook software- en firmware-updates uitgebracht om het probleem voor getroffen systemen te verminderen.
"Intel werd op de hoogte gebracht van een kwetsbaarheid die mogelijk van invloed is op de Intel CSME, waarbij een onbevoegde gebruiker met gespecialiseerde hardware en fysieke toegang willekeurige code kan uitvoeren binnen het Intel CSME-subsysteem op bepaalde Intel-producten", aldus het bedrijf in een verklaring.
Maar Positive Technologies zegt dat de gebreken niet kunnen worden verholpen, zelfs niet met beperkende maatregelen, en dat de enige manier om een ??aanval volledig te voorkomen, is door de CPU te vervangen door een nieuwe waarvan de chipsetsleutel niet kan worden geëxtraheerd.
"Het probleem is niet alleen dat het onmogelijk is om firmwarefouten op te lossen die hard gecodeerd zijn in de Mask ROM van microprocessors en chipsets", schreef onderzoeker Mark Ermolov van Positive Technologies in een blogpost.
"De grotere zorg is dat, omdat deze kwetsbaarheid een compromis op hardwareniveau mogelijk maakt, het de vertrouwensketen voor het platform als geheel vernietigt."
In een beveiligingsbulletin bij de updates erkende Intel dat een deel van de firmware in de chips kwetsbaar is voor fysieke aanvallen en raadde gebruikers aan "fysiek bezit van hun platform te behouden".
Fout vóór alle andere fouten
De fout is potentieel ernstiger dan de Spectre- en Meltdown-bugs die in 2018 zijn ontdekt.
??Door deze problemen konden hackers ook een systeem overnemen en de gegevens ervan stelen via een proces dat bekend staat als speculatieve uitvoering.
Spectre en Meltdown kunnen worden opgelost met software-updates die speculatieve uitvoering voorkomen, die nu beschikbaar zijn voor de meeste consumenten-pc's.
Omdat de ROM-fout kan worden misbruikt voordat een systeem zelfs maar opstart, kan het volgens Positive Technologies niet worden gepatcht met een software-update.
Het kan ook niet worden vermeden met sommige soorten extra beveiliging die veel voorkomen op zakelijke pc's die worden gebruikt in de financiële wereld, de gezondheidszorg en andere industrieën.
Die pc's hebben doorgaans een Trusted Platform Module (TPM), die voorkomt dat hackers met het systeem knoeien voordat het opstart.
Omdat CSME-firmware ook op software gebaseerde TPM's bestuurt, zijn ze ook kwetsbaar.
Aanbevolen door onze redacteuren
Veel laptop- en desktopfabrikanten hebben aanvullende informatie over welke producten door de fout worden beïnvloed.
HP's lijst bevat de meeste van zijn recente producten met Intel CPU's van de generaties Skylake, Kaby Lake, Coffee Lake en Whiskey Lake.
Apple's laat-model Mac-laptops en -desktops gebruiken de op maat gemaakte T2-beveiligingschip van het bedrijf om encryptie en veilig opstarten te verwerken, en vertrouwen niet op Intel's CSME.
Er zijn geen bekende misbruiken van de kwetsbaarheden gemeld.
Hoewel een exploit een hoge mate van verfijning van de aanvallers en fysieke toegang tot een pc vereist, waarschuwt Positive Technologies dat een succesvolle aanval waarmee de beveiligingssleutel van een pc kan worden ontsleuteld, ernstige gevolgen kan hebben voor systemen met gevoelige gegevens.
"Wij geloven dat het extraheren van deze sleutel slechts een kwestie van tijd is", schreef Ermolov.
Opmerking van de uitgever: Dit verhaal is bijgewerkt om een ??opmerking van Intel en aanvullende informatie over HP- en Apple-systemen toe te voegen.
