圖片來源: 

資安業者Positive Technologies於本周指出,英特爾(Intel)在去年5月曾經修補的CVE-2019-0090,其實是一個無法修補的漏洞,將允許駭客竊取機密資訊,且英特爾最近5年來所發表的大部份晶片組都含有該漏洞。

根據英特爾對該漏洞的簡短說明,該漏洞是因子系統的存取控制不足所造成的,允許一個可實際存取但未經授權的使用者擴張權限,波及融合安全管理引擎(CSME)、可靠執行引擎介面(TXE)及伺服器平台服務(SPS)等韌體與軟體,CVSS風險等級為7.1,屬於高風險漏洞。

不過,Positive Technologies的硬體安全研究人員Mark Ermolov指出,這是一個存在於晶片唯讀記憶體(ROM)的安全漏洞,除了根本不可能完全修補ROM中寫死的韌體錯誤之外,此一漏洞已危害到硬體層級,摧毀了外界對英特爾平台的信任。

若本地端駭客成功開採了CVE-2019-0090,那麼就能汲取存放在PCH微晶片上的晶片組金鑰,以及存取以該金鑰加密的資料,而且還不會被偵測到。有了這組金鑰,駭客將能解密儲存在目標電腦上的資料,甚至偽造強化隱私身分(EPID)證明,以自己的電腦冒充成受害者電腦,而EPID則被廣泛應用在數位版權管理(DRM)、金融交易與IoT裝置的證明上。

於是,駭客可以在自己的電腦上繞過DRM並非法複製版權商品,或是以零級(zero level)權限於唯讀記憶體中執行任意程式,而且沒有任何的韌體更新可修補該漏洞。

因此,Positive Technologies建議使用者應該關閉資料儲存裝置上的CSME加密,或是考慮升級到第十代或之後的英特爾處理器。


Advertisement

更多 iThome相關內容