Des chercheurs en sécurité ont mis en lumière une fonctionnalité auparavant inconnue dans les jeux de puces (ou chipsets) Intel qui pourrait permettre à un attaquant d’intercepter des données de la mémoire de l’ordinateur. Pour rappel, un chipset est un jeu de composants électroniques inclus dans un circuit intégré préprogrammé permettant de gérer les flux de données numériques entre le ou les processeur(s), la mémoire et les périphériques. La fonctionnalité appelée Intel VISA (Visualization of Internal Signals Architecture) est considérée comme un utilitaire fourni par le fabricant de puces à des fins de test sur les lignes de fabrication.
L’architecture Nehalem d’Intel introduite en 2008 a succédé à l’architecture Core. Elle a apporté une évolution majeure avec l’intégration progressive des composants du chipset au sein du processeur de telle sorte que le chipset a été réduit au fil du temps au rôle de southbridge. Les éléments du chipset intégrés au processeur faisaient partie du northbridge, il s’agit notamment du : circuit graphique (ou IGP) éventuel, contrôleur mémoire et d’une partie des liens PCIe qu’on retrouve désormais dans les processeurs d’Intel.
Bien que la firme de Santa Clara n’ait pas divulgué publiquement l’existence d’Intel VISA et qu’il soit extrêmement discret à ce sujet, les chercheurs affirment avoir trouvé plusieurs moyens permettant d’activer cette fonctionnalité sur les jeux de puces Intel et de capturer les données manipulées par le processeur. La présentation réalisée par les chercheurs Mark Ermolov et Maxim Goryachy de Positive Technologies lors de la conférence Blackhat Asia 2019 à Singapour montre que leurs exploits des jeux de puces d’Intel ne nécessitent aucune modification au niveau matériel ni équipement spécial. L’une des techniques partagées par les chercheurs impliquait des vulnérabilités détaillées dans l’avis Intel-SA-00086 qui donnent accès à l’Intel Management Engine (IME), permettant ainsi d’activer Intel VISA. L’accès à VISA rend l’ensemble des données de la machine vulnérable et accessible à l’attaquant.
Intel a minimisé l’exploit et a expliqué que le problème lié à Intel VISA nécessitait un accès physique de l’attaquant à la machine, en précisant que les vulnérabilités relatives à l’avis Intel-SA-00086 qu’il avait publié avaient déjà été atténuées. Les chercheurs ont toutefois remis en cause les déclarations du fondeur de Santa Clara et affirmé que le firmware corrigé de l’IME pouvait être rétrogradé (mise à jour vers une version plus ancienne du microprogramme) afin de rendre le chipset à nouveau vulnérable et permettre d’accéder à Intel VISA.
Mark Ermolov a noté que les vulnérabilités détaillées dans l’avis Intel-SA-00086 publié par le fondeur de Santa Clara ne représentent qu’une partie des nombreuses techniques qui, à l’instar de Orange Mystery ou Intel JTAG password, permettent d’accéder à l’Intel VISA. Les détails techniques de ces exploits sont disponibles dans la présentation partagée sur le site Web de Blackhat Asia.
Pour en savoir plus https://securite.developpez.com/actu/253969/Des-chercheurs-revelent-un-nouvel-exploit-lie-a-la-fonctionnalite-Intel-VISA-des-chipsets-Intel-il-permet-d-acceder-a-l-ensemble-des-donnees-d-un-PC/