Эксперты Positive Technologies обнаружили уязвимость в процессорах Intel, которые используются в ноутбуках, автомобилях и других устройствах

25.11.2021 12:09

Уязвимость CVE-2021-0146 позволяет активировать режимы тестирования или отладки в нескольких линейках процессоров Intel. Это может позволить неаутентифицированному пользователю, имеющему физический доступ, получить повышенные привилегии в системе.

Проблема обнаружена в процессорах Pentium, Celeron и Atom платформ Apollo Lake, Gemini Lake и Gemini Lake Refresh, которые используются как в мобильных компьютерах, так и во встраиваемых системах. Угроза касается широкого спектра ультрамобильных нетбуков и значительной части систем интернета вещей (IoT) на базе процессоров Intel — от бытовой техники и систем умного дома до автомобилей и медицинского оборудования. По данным исследования Mordor Intelligence, Intel занимает четвертое место на рынке чипов для интернета вещей, а ее IoT-процессоры серии Intel Atom E3900, в которых также присутствует уязвимость CVE-2021-0146, используют автопроизводители в более 30 моделях машин, в том числе, по неофициальным данным, компанией Tesla в Tesla Model 3.

Ошибку, получившую оценку 7,1 балл по шкале CVSS 3.1, выявили Марк Ермолов, Дмитрий Скляров (оба специалисты Positive Technologies) и Максим Горячий (независимый исследователь).

«Один из примеров реальной угрозы — это потерянные или украденные ноутбуки, содержащие конфиденциальную информацию в зашифрованном виде, — рассказывает Марк Ермолов. — Используя данную уязвимость, атакующий может извлечь ключ шифрования и получить доступ к информации внутри ноутбука. Также ошибка может эксплуатироваться в целевых атаках через цепочку поставок. Например, сотрудник поставщика устройств на процессорах Intel теоретически может извлечь ключ для прошивки Intel CSME и внедрить программу-шпион, которая не будет выявляться программными средствами защиты. Эта уязвимость опасна еще и тем, что она позволяет извлечь корневой ключ шифрования, используемый в технологиях Intel PTT (Platform Trust Technology) и Intel EPID (Enhanced Privacy ID) в системах защиты цифрового контента от нелегального копирования. Например, ряд моделей электронных книг Amazon применяет защиту, основанную на Intel EPID, для управления цифровыми правами. Используя данную уязвимость, злоумышленник может извлечь корневой ключ EPID из устройства (электронной книги), а затем, скомпрометировав технологию Intel EPID, скачивать электронные материалы от провайдеров в виде файлов, копировать их и распространять».

По словам Марка Ермолова, с технической точки зрения уязвимость обусловлена наличием отладочной функциональности с избыточными привилегиями, которая не защищена должным образом. Чтобы избежать таких проблем в будущем и не допустить возможности обхода встроенной защиты, производителям следует более тщательно подходить к обеспечению безопасности отладочных механизмов.

Для устранения обнаруженной уязвимости необходимо установить обновления UEFI BIOS, опубликованные конечными производителями электронного оборудования (ноутбуков или других устройств).

Обеспечить непрерывный контроль уязвимостей внутри инфраструктуры поможет MaxPatrol VM — система нового поколения в области vulnerability management. В случае успешной атаки одним из способов выявить признаки проникновения является применение систем класса SIEM (например, MaxPatrol SIEM), которые позволяют обнаружить подозрительное поведение на сервере и своевременно остановить продвижение злоумышленников внутри корпоративной сети.

www.ptsecurity.com

Хроника

Последний вышедший номер

Читайте в номере:

Анализ соответствия человеко-машинного интерфейса автоматизированных рабочих мест персонала блочного пункта управления Ленинградской АЭС-2 современным подходам по проектированию

Многоуровневая оперативная оптимизация технологического режима установок подготовки нефти

Система мониторинга и прогнозирования скорости роста коррозионных повреждений резервуаров для хранения нефти и нефтепродуктов

Применение сетевых моделей в социальных, технических и биологических системах. I. Модели представления знаний

Готовится к печати

Читайте в номере:

Усовершенствованное управление технологическими процессами: зарождение и развитие, состояние и прогноз рынка, российская составляющая, тренды, проблемы импортозамещения

Обнаружение дефектов металлопроката с помощью модифицированной на основе физически-информированного градиентного анализа функции потерь YOLOv8

Методическое обеспечение САПР технологической оснастки в КОМПАС-3D

Функциональная безопасность и кибербезопасность систем противоаварийной автоматической защиты в составе АСУТП технологических процессов нефтепереработки

Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru

Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.

Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.

В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.

Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.