Möglicher Missbrauch: Forscher entdecken nicht dokumentierte Funktion von Intel-Chipsätzen

Forscher von Positive Technologies haben auf der Sicherheitskonferenz Black Hat Asia 2019 eine nicht dokumentierte und bisher unbekannte Funktion von Intel-Chipsätzen vorgestellt. Die Virtualization of Internal Signals Architecture (Intel VISA) genannte Technik ist in allen modernen Intel-Chipsätzen enthalten und soll bei Tests und Fehleranalysen während der Produktion helfen. Sie befürchten einen Missbrauch durch Cyberkriminelle.

VISA ist demnach ein Teil des Platform Controller Hub (PCH) und soll wie ein vollwertiger Logic Signal Analyzer funktionieren. Den Forschern Maxim Goryachy und Mark Ermolov zufolge fängt VISA alle Signale ab, die von internen Bussen und Peripherie-Geräten wie Bildschirm, Tastatur und Webcam an den PCH und an die CPU geschickt werden.

Die Forscher befürchten nun, dass sich Angreifer einen nicht autorisierten Zugang zur VISA-Funktion verschaffen könnten. Dadurch wären sie in der Lage, Daten vom Computer-Speicher abzufangen und Schadsoftware zu entwickeln, die auf der untersten Ebene arbeiten würde.

Über die VISA-Technik ist indes wenig bekannt. Die Dokumentation hält Intel unter Verschluss beziehungsweise gibt sie nur gegenüber Partnern preis, die eine Verschwiegenheitserklärung unterzeichnet haben. Die Geheimhaltung rund um VISA sollte also eigentlich ausreichend sein, um Nutzer vor einem Missbrauch von VISA zu schützen.

Den beiden Forscher haben jedoch verschiedene Methoden gefunden, um VISA zu aktivieren und Daten auf dem Weg hin zur CPU abzufangen, und zwar mit Hilfe der Intel Management Engine (ME). Sie wiederum ist ebenfalls ein Bestandteil des PCH, und zwar seit der Einführung der Nehalem-Prozessoren und der Serie-5-Chipsätze.

Intel betonte, dass die Funktion sicher sei. Ein Sprecher des Unternehmens erklärte gegenüber ZDNet USA, dass der auf der BlackHat-Konferenz gezeigte Angriff einen physischen Zugriff auf einen PC voraussetze und eine bereits im November geschlossene Sicherheitslücke nutze.

Die Forscher beharren indes darauf, dass ein Missbrauch möglich ist. Zum einen sei es möglich, ein Firmware-Downgrade durchzuführen und somit die bekannte Schwachstelle wieder freizuschalten. Zum anderen gebe es weitere drei Methoden, um VISA zu aktivieren. Sie sollen in den kommenden Tagen veröffentlicht werden.

Ermolov stellte außerdem klar, dass VISA keine Schwachstelle in Intel-Chipsätzen sei. Es sei aber eine an sich sinnvolle Funktion, die sich missbrauchen und gegen Nutzer einsetzen lasse. Auch sei die Wahrscheinlichkeit von Angriffen auf VISA gering. Angreifer hätten mit dem Zugriff auf Intel ME eigentlich bereits alle Werkzeuge zur Hand, um ihre Ziele umzusetzen.