Come proteggere / mitigare l'attacco JTAG IntelME (CSME) tramite USB?

L'attacco funziona sfruttando la funzione di debug UST JTAG che si trova in alcuni PC.

Anni fa, se un produttore di computer stava eseguendo il debug del progetto della scheda madre, ci sarebbe stata una porta speciale sulla scheda madre chiamata una porta JTAG per sondare i registri nel processore / chipset. link

Per utilizzare questa porta, è necessario un dispositivo di debugger JTAG. link

Nelle moderne schede madri, spesso non c'è spazio per una porta JTAG. E nel caso di qualcosa come un laptop, potrebbe non essere possibile raggiungere la porta JTAG. Quindi, Intel ha sviluppato un modo per accedere a JTAG tramite una delle porte USB.

Una delle porte USB sul chipset (in genere la porta 0) è una porta USB "speciale" che consente il debugging JTAG con uno speciale dispositivo USB. link

Nelle impostazioni del BIOS per un PC, normalmente è disponibile un'opzione per abilitare il debug USB e questa opzione dovrebbe essere disabilitata di default in tutti i sistemi di produzione spediti ai clienti. Tuttavia, ci sono alcuni produttori di computer che non hanno seguito le migliori pratiche:

1. Hanno attivato il debug di default durante lo sviluppo HW / BIOS e si sono dimenticati di spegnerlo.
2. Hanno codificato in modo sicuro lo stato del debug USB nel BIOS per abilitare e non hanno fornito e l'opzione per disabilitarlo.

Se hai accesso alla funzione di debug / JTAG USB, hai accesso "migliore di root" al sistema. È destinato al progettista hardware e firmware per la risoluzione di problemi di sistema di basso livello. L'exploit riguarda davvero JTAG, non il Management Engine. Se un utente malintenzionato può accedere alla porta JTAG, possiede il tuo computer, punto. Intel Management Engine è solo qualcosa che possono sfruttare mentre hanno il controllo.

Sottolineerò anche che USB JTAG come vettore di attacco non è esattamente nuovo di zecca: link

Una delle leggi fondamentali della sicurezza del computer è che se un ragazzo cattivo ha accesso fisico illimitato al tuo computer, non è più il tuo computer. JTAG è un esempio di questa regola. link

Quindi cosa fai per fermarlo?

1. Non permettere a un cattivo ragazzo di avere accesso fisico al tuo computer. Se sospetti che ciò sia accaduto, interrompi immediatamente l'uso del computer e ne ricevi uno nuovo.
2. Rivolgersi al produttore per un aggiornamento del BIOS.
3. Disabilita il debug USB nel BIOS se puoi.
4. Se non si dispone di un'opzione per disabilitarlo, contattare il produttore del computer / scheda madre per verificare se sono abilitati. In tal caso, è necessario attendere che forniscano e aggiornino o sostituiscano il computer.

Beh, questa è ancora una notizia per molti di noi, anche se i problemi del Management Engine di Intel sono stati sollevati per anni e anni; ci sono stati problemi precedenti con esso. Quindi questa risposta potrebbe necessitare di aggiornamenti man mano che maggiori informazioni saranno disponibili.

What are the attack vectors ? (physical access to the computer required ?)

In questo caso particolare, sì - è richiesto l'accesso fisico. Tuttavia, si dovrebbe notare che uno degli scopi del ME è quello di consentire l'accesso remoto . Contiene un intero stack di rete e persino un server web.

What computer (and configuration) are affected ?

Qualcosa con un processore Intel risalente a parecchi anni. Originariamente, il ME è stato integrato nel North Bridge e successivamente integrato nel processore ( ref )

Broadwell, Skylake e i più recenti sono interessati. Sistemi più vecchi di quelli non supportano DCI (il protocollo per accedere a JTAG tramite USB). Sebbene questi sistemi abbiano un ME, non è accessibile tramite USB

How to protect and/or mitigate such attacks ?

Masterizza i brani per l'USB dalla scheda madre! Ma tieni presente che questo problema non si limita ad altri che possono essere trovati in seguito. Non dimenticare che esistono altri attacchi, in realtà probabilmente molto più semplici, via USB. Per un utilizzo ad alta sicurezza, l'USB deve essere spento o fornire una protezione aggiuntiva.

Potresti avere la fortuna di avere una scheda madre con un BIOS che ti consente di disattivare AMT. Inoltre, l'articolo di Wikipedia di cui sopra cita alcune attenuazioni per Windows.

Anche se AMT è disattivato, ad es. in un'impostazione del BIOS, DCI su USB può ancora dirottare il ME sui sistemi vulnerabili.

L'utilizzo di chip e schede madri AMD può anche aiutare, anche se non ho prove concrete a riguardo. Certamente Intel è sempre stata molto vicina all'AMT, quindi suppongo che i chipset AMD non ce l'abbiano - è possibile che abbiano la loro soluzione.

Un utente anonimo ha suggerito in una modifica che i sistemi AMD hanno qualcosa di simile, chiamato AMD PSP, ma non pensavano che fosse possibile accedervi tramite USB.