'Intel vPro is lek'
Gepubliceerd: Dinsdag 6 januari 2009
Auteur: Michiel van Blommestein
Twee Poolse white hats hebben een beveiligingsfunctie van het Intel vPro-beheerplatform gekraakt. Daarmee zou het mogelijk zijn om de aanval te openen op software die met behulp van het platform geladen wordt, iets wat het systeem juist hoort te voorkomen.
De onderzoekers, Rafal Wojtczuk en Joanna Rutkowska (respectievelijk onderzoeker en oprichtster van Invisible Things Labs), claimen in een bericht op hun site dat ze malware hebben gebouwd waarmee het mogelijk is om bij programma's te komen die in de Trusted Execution Technology (TXT) zijn geladen. Het idee achter TXT is juist dat het een beschermingsschil vormt rond code die op de hardware draait door toegang tot specifieke hulpbronnen te reserveren voor specifieke software. Andere applicaties kunnen bijvoorbeeld geen invloed uitoefenen op de memory pools die zijn gereserveerd voor het OS.
Hoewel de hackers geen details prijsgeven, schrijven ze wel dat het gaat om een tweetrapsraket. Eerst schreven ze een exploit voor een bug die ze hebben gevonden 'in de systeemsoftware van Intel', waarna ze een 'ontwerpkeuze in TXT' konden uitbuiten. Software dat in de Trusted Execution-omgeving draait zou zo open staan voor beïnvloeding van buiten.
De uiteindelijke aanval is gevoerd op het Trusted Boot (Tboot)-component van vPro, dat gebruik maakt van TXT. Tboot is een controlemodule waarmee Linux of Xen Virtual Machine Monitor beveiligd kan worden opgestart. Het lek zit volgens de hackers niet in Tboot zelf, maar in TXT waar Tboot aanspraak op maakt. Op de Black Hat conferentie volgende maand, zo melden de beide onderzoekers, geven ze meer prijs van hoe de vork in de steel zit.
De redding voor TXT, en daarmee voor vPro, is volgens Invisible Things Labs dat het nieuwe technologie is en nog niet veel wordt ondersteund. Direct gevaar is daarmee afgewend, wat Intel de tijd geeft om het probleem het hoofd te bieden. Maar dat betekent volgens Rutkowska niet dat het eenvoudig is te verhelpen: het lek in stap 1 is een kwestie van bugs pletten, "maar het is niet duidelijk hoe Intel het probleem van onze stap 2 het hoofd willen bieden", zo mailt Rutkowska aan de nieuwsdienst van Techworld-uitgever IDG.
Intel zelf claimt dat een wijziging aan de specificatie van TXT het meest voor de hand ligt, al meldt het bedrijf in een e-mail aan Techworld dat de fout niet per se bij hun hoeft te liggen. "De design flaw waar je naar verwees is volgens ons gerelateerd aan hardware-virtualisatie in 't algemeen en niet specifiek aan Trusted Execution Technology (TXT) of aan Intel", schrijft woordvoerder Kristof Sehmke in een reactie aan Techworld. "Het probleem bestond erin dat de hardware onderschept werd vooraleer de virtuele machine kon overnemen - waardoor het probleem onopgemerkt bleef. TXT bestond nog niet toen die flaw opdook (kort na de introductie van vPro in sept 2006) . TXT biedt wel een hardware-matig antwoord op die kwetsbaarheid."
Bron: Techworld
