Vulnerabilidad critica en todos los procesadores Intel desde 2008 hasta 2017

Los chips de Intel contienen un microprocesador aislado de la CPU principal y el Sistema Operativo , este microprocesador se llama Management Engine este microprocesador ejecuta varios programas , uno de ellos es AMT(Active Management Technology) que utiliza bastantes características del Management Engine.

Cuando el Management Engine esta activado todos los paquetes que van a los puertos 16992 y 16993 se redireccionan al Management Engine y el sistema operativo no puede detectarlos.AMT proporciona una interfaz web que permite hacer cosas como por ejemplo reiniciar el ordenador insertar dispositivos de almacenamiento virtuales , tener una pantalla remota del ordenador o un terminal remoto.Para usar AMT se necesita una contraseña pero la vulnerabilidad permite usar AMT sin contraseña.

AMT permite instalar dispositivos de almacenamiento remoto en formato ISO en versiones anteriores a la 11.0 y en formato de USB emulado en versiones posteriores , con el formato de usb emulado ademas se puede introducir el código que se quiera en el kernel. Los dispositivos virtuales se pueden usar como unidad de arranque así que un atacante podría arrancar su propio sistema operativo para hacer lo que quiera con el dispositivo de almacenamiento del usuario mas cómodamente(los dispositivos en los que ni siquiera el usuario puede desactivar secure boot también son vulnerables ya que AMT puede hacer que se inicie desde una unidad saltándose el secure boot). También permite leer y escribir lo que se quiera en la unidad de almacenamiento sin que el usuario tenga conocimiento de ello ademas también es capaz de mandar lo que quiera mediante la red sin que el usuario lo pueda controlar.

La única solución para esto es una actualización de firmware del Management Engine pero la mayoría de fabricantes dejan de dar soporte a dispositivos de mas de 3 años de antigüedad por lo tanto la única solución para los equipos que ya no reciban soporte del fabricante es pagar a alguien para crear una versión con los parches necesarios.

Esta vulnerabilidad afectaría a todos los equipos que tengan procesador y chipset vPRO y AMT activado y los que no serian vulnerables exclusivamente en modo local.

Si tienes una empresa que utilice AMT tienes que parchear la BIOS , el firmware del Management Engine y activar AMT de nuevo manualmente en cada PC

Este es un problema importante a nivel mundial porque Intel tiene una cuota de mercado superior al 70% llegando a 80% en los últimos años

La pagina web semiaccurate.com aviso a Intel en repetidas ocasiones de este problema aportando información técnica y Intel respondió diciendo que no era posible.

Esto ademas de ser un problema para la seguridad de la mayor parte de usuarios y para la imagen de Intel también es un problema económico para gran parte de fabricantes que tendrían que decidir entre crear nuevas actualizaciones de BIOS para todas sus placas base desde hace 9 años o dejarlas con problemas de seguridad graves.

Según la nueva información proporcionada por Intel el problema ademas de afectar a AMT también afecta a ISM y en local a SBT.De momento no hay información sobre si se ha aprovechado esta vulnerabilidad para realizar ataques pero es posible que en los últimos 9 años alguien ademas de semiaccurate.com haya descubierto la vulnerabilidad y la haya utilizado para beneficio propio.

Fuentes:

https://mjg59.dreamwidth.org/48429.html

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

Remote security exploit in all 2008+ Intel platforms

 

Alive Systems