Onderzoekers Hack in Intel's VPro

Beveiligingsonderzoekers zeiden dat ze een manier hadden gevonden om te omzeilen een Intel vPro beveiligingsfunctie die wordt gebruikt om pc's en de programma's te beschermen tegen misbruik.

Invisible Things Labs-onderzoekers Rafal Wojtczuk en Joanna Rutkowska zeiden dat ze software hebben gemaakt die de betrouwbaarheid van software die is geladen met de Trusted Execution kan "schaden" Technologie (TXT) die deel uitmaakt van Intel's vPro-processorplatform. Dat is slecht nieuws, omdat TXT verondersteld wordt om software te beschermen - een programma dat bijvoorbeeld binnen een virtuele machine draait - om te worden gezien of gemanipuleerd door andere programma's op de machine. Voorheen met de codenaam LaGrande, begon TXT het eerste jaar met de verzending op sommige op Intel gebaseerde pc's.

Hoewel bijna geen software de TXT-technologie tegenwoordig gebruikt, zou het onderzoek veel kunnen uitmaken van computerbedrijven en overheidsinstanties die overwegen om het te gebruiken om hun toekomstige producten te beveiligen.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Wojtczuk en Rutkowska zeiden dat ze een aanval in twee fasen hebben gemaakt, waarbij de eerste fase een bug in Intel's systeemsoftware uitbrak. De tweede fase is gebaseerd op een ontwerpfout in de TXT-technologie zelf, zeiden ze in een aankondiging van hun werk, vrijgegeven maandag.

De onderzoekers van Invisible Things zouden niet precies zeggen welke systeemsoftware een van deze "eerste fase" -bugs bevat voordat ze zijn gepatcht, omdat die informatie kan worden misbruikt door cybercriminelen.

Het probleem van de "tweede fase" kan echter lastig zijn om te verhelpen. "Het is nog steeds niet duidelijk hoe Intel het probleem moet aanpakken dat wordt uitgebuit door de tweede fase van onze aanval," zei Invisible Things-onderzoeker Joanna Rutkowska in een e-mailinterview. "Intel claimt dat het dit probleem kan oplossen door de TXT-specificatie bij te werken."

De onderzoekers voerden een aanval uit op een programma genaamd tboot, dat wordt gebruikt om vertrouwde versies van Linux- of virtuele-machinemodules op de computer te laden. Ze kozen voor tboot, omdat het een van de weinige beschikbare programma's is die gebruik maakt van de TXT-technologie, maar ze hebben zelf geen fouten in tboot gevonden, zegt Intel.

Intel-woordvoerder George Alfs zei dat zijn bedrijf werkt met het Invisible Things-team, maar hij weigerde verder commentaar te geven op hun werk, en zei dat hij de Black Hat-presentatie niet wilde voorkomen.

De onderzoekers zijn van plan meer informatie te geven over hun werk op de komende Black Hat Washington-veiligheidsconferentie volgende maand.

Omdat TXT niet veel wordt gebruikt, heeft het werk mogelijk niet veel effect op de klanten van Intel, aldus Stefano Zanero, CTO van het Italiaanse beveiligingsadviesbureau Secure Network. "Vanaf nu zal slechts een zeer beperkte subset van ontwikkelaars die met de technologie spelen het interessant vinden", zei hij in een onmiddellijk berichtinterview.

Het werk kan echter belangrijk worden als het nieuwe manieren schetst van aanvallers zou de vPro-architectuur in gevaar kunnen brengen, voegde hij eraan toe. "Als het slechts een specifieke kwetsbaarheid in de implementatie van Intel schetst, dan is het minder interessant," zei hij.