Уязвимость может применяться для получения доступа к зашифрованным файлам, шпионажа и обхода средств защиты авторских прав.
Уязвимость CVE-2021-0146 позволяет активировать режимы тестирования или отладки в нескольких линейках процессоров Intel. Это может позволить неаутентифицированному пользователю, имеющему физический доступ, получить повышенные привилегии в системе.
Проблема обнаружена в процессорах Pentium, Celeron и Atom платформ Apollo Lake, Gemini Lake и Gemini Lake Refresh, которые используются как в мобильных компьютерах, так и во встраиваемых системах. Угроза касается широкого спектра ультрамобильных нетбуков и значительной части систем интернета вещей (IoT) на базе процессоров Intel — от бытовой техники и систем умного дома до автомобилей и медицинского оборудования. По данным исследования Mordor Intelligence, Intel занимает четвертое место на рынке чипов для интернета вещей, а ее IoT-процессоры серии Intel Atom E3900, в которых также присутствует уязвимость CVE-2021-0146, используют автопроизводители в более 30 моделях машин, в том числе, по неофициальным данным, компанией Tesla в Tesla Model 3.
Ошибку, получившую оценку 7,1 балл по шкале CVSS 3.1, выявили Марк Ермолов, Дмитрий Скляров (оба специалисты Positive Technologies) и Максим Горячий (независимый исследователь).
«Один из примеров реальной угрозы — это потерянные или украденные ноутбуки, содержащие конфиденциальную информацию в зашифрованном виде, — рассказывает Марк Ермолов. — Используя данную уязвимость, атакующий может извлечь ключ шифрования и получить доступ к информации внутри ноутбука. Также ошибка может эксплуатироваться в целевых атаках через цепочку поставок. Например, сотрудник поставщика устройств на процессорах Intel теоретически может извлечь ключ для прошивки Intel CSME и внедрить программу-шпион, которая не будет выявляться программными средствами защиты. Эта уязвимость опасна еще и тем, что она позволяет извлечь корневой ключ шифрования, используемый в технологиях Intel PTT (Platform Trust Technology) и Intel EPID (Enhanced Privacy ID) в системах защиты цифрового контента от нелегального копирования. Например, ряд моделей электронных книг Amazon применяет защиту, основанную на Intel EPID, для управления цифровыми правами. Используя данную уязвимость, злоумышленник может извлечь корневой ключ EPID из устройства (электронной книги), а затем, скомпрометировав технологию Intel EPID, скачивать электронные материалы от провайдеров в виде файлов, копировать их и распространять».
По словам Марка Ермолова, с технической точки зрения уязвимость обусловлена наличием отладочной функциональности с избыточными привилегиями, которая не защищена должным образом. Чтобы избежать таких проблем в будущем и не допустить возможности обхода встроенной защиты, производителям следует более тщательно подходить к обеспечению безопасности отладочных механизмов.
Для устранения обнаруженной уязвимости необходимо установить обновления UEFI BIOS, опубликованные конечными производителями электронного оборудования (ноутбуков или других устройств).
Обеспечить непрерывный контроль уязвимостей внутри инфраструктуры поможет MaxPatrol VM — система нового поколения в области vulnerability management. В случае успешной атаки одним из способов выявить признаки проникновения является применение систем класса SIEM (например, MaxPatrol SIEM), которые позволяют обнаружить подозрительное поведение на сервере и своевременно остановить продвижение злоумышленников внутри корпоративной сети.