安全企业Positive Technologies于本周指出,英特尔(Intel)在去年5月曾经修补的CVE-2019-0090,其实是一个无法修补的漏洞,将允许黑客窃取机密信息,且英特尔最近5年来所发布的大部分芯片组都含有该漏洞。
根据英特尔对该漏洞的简短说明,该漏洞是因素系统的访问控制不足所造成的,允许一个可实际访问但未经授权的用户扩张权限,波及融合安全管理引擎(CSME)、可靠执行引擎接口(TXE)及服务器平台服务(SPS)等固件与软件,CVSS风险等级为7.1,属于高风险漏洞。
不过,Positive Technologies的硬件安全研究人员Mark Ermolov指出,这是一个存在于芯片只读内存(ROM)的安全漏洞,除了根本不可能完全修补ROM中写死的固件错误之外,该漏洞已危害到硬件层级,摧毁了外界对英特尔平台的信任。
若本地端黑客成功开采了CVE-2019-0090,那么就能汲取存放在PCH微芯片上的芯片组密钥,以及访问以该密钥加密的数据,而且还不会被侦测到。有了这组密钥,黑客将能解密存储在目标计算机上的数据,甚至伪造强化隐私身份(EPID)证明,以自己的计算机冒充成受害者计算机,而EPID则被广泛应用在数字版权管理(DRM)、金融交易与IoT设备的证明上。
于是,黑客可以在自己的计算机上绕过DRM并非法复制版权商品,或是以零级(zero level)权限于只读内存中执行任意程序,而且没有任何的固件更新可修补该漏洞。
因此,Positive Technologies建议用户应该关闭数据存储设备上的CSME加密,或是考虑升级到第十代或之后的英特尔处理器。