Hace dos semanas publicamos un post titulado “Si usas procesadores Intel, tienes un gran problema“, al parecer nuestro temor era más que fundado ya que el día de ayer Intel finalmente aceptó que sus procesadores eran vulnerables.
Aquí la traducción de lo publicado ayer en Tom’s Hardware sobre el tema:
En los últimos meses, los investigadores de seguridad de Purism, Positive Technologies e incluso Google han encontrado formas de desactivar el firmware privativo del Management Engine (ME) en los procesadores Intel. Esto parece haber impulsado a Intel a hacer una revisión de su firmware y tapar la mayoría de los agujeros que permitieron a los investigadores tomar el control del ME.
Los investigadores inhabilitan el ME
Este año, los investigadores de seguridad de Purism, el fabricante de computadoras portátiles basadas en Linux enfocadas en la privacidad, y Positive Technologies comenzaron a buscar formas de desactivar el firmware ME de Intel. Muchos activistas de la privacidad, incluidos los investigadores de seguridad de Purism, temen que ME pueda ser utilizado como puerta trasera.
El modelo propietario de código cerrado del firmware ME también niega a la mayoría de las personas (excepto la NSA) la capacidad de ver lo que este hace en una computadora, lo que significa que podría venir con fallas de seguridad que podrían ser explotadas por atacantes sofisticados.
Ambas preocupaciones llevaron a Google a trabajar en la desactivación de ME para sus servidores, por lo que puede estar más seguro de que no podría ser explotado por los ciberdelincuentes.
La última gran revelación sobre las vulnerabilidades de ME fue un reciente anuncio de un investigador de Positive Technologies de que han logrado el control total de ME (y por lo tanto de la computadora en cuestión) a través del puerto USB. El investigador no reveló más en ese momento, pero está a punto de presentar el hack en la próxima conferencia del Chaos Computer Club (34C3) a fines de diciembre.
Intel anuncia un parche para la vulnerabilidad
Intel anunció que ha completado una revisión de seguridad de su firmware ME, así como los Servicios de plataforma de servidor Intel (SPS) y el Motor de ejecución de confianza (TXE) de Intel con el objetivo de mejorar la resistencia del firmware. La revisión fue impulsada por el último trabajo de “investigadores externos“.
Intel identificó varios fallos de seguridad en las versiones de firmware ME 11.0 / 11.5 / 11.6 / 11.7 / 11.10 / 11.20, así como en el firmware SPS versión 4.0 y la versión 3.0 de TXE. Como Purism nos dijo recientemente, la versión 11 de ME es bastante diferente de la que Intel usó antes y también se ejecuta en un procesador x86 por separado, en comparación con un procesador Arc como antes. Las versiones 11 y posteriores están disponibles para los procesadores Intel de 6ª generación (Skylake) y más recientes.
La lista completa de CPU impactadas incluye:
- 6th, 7th & 8th Generation Intel Core Processor Family
- Intel Xeon Processor E3-1200 v5 & v6 Product Family
- Intel Xeon Processor Scalable Family
- Intel Xeon Processor W Family
- Intel Atom C3000 Processor Family
- Apollo Lake Intel Atom Processor E3900 series
- Apollo Lake Intel Pentium
- Celeron N and J series Processors
Como muchos activistas de seguridad y privacidad han temido, los fallos recientes podrían permitir que un atacante obtenga acceso no autorizado a la funcionalidad ME y secretos de terceros protegidos por el ME, el SPS o el TXE.
Para determinar si las vulnerabilidades encontradas recientemente afectan su sistema, Intel ha creado una herramienta de detección que se puede descargar desde su sitio. La herramienta está disponible solo para usuarios de Windows y Linux.
El parche destinado a corregir estas vulnerabilidades no será provisto por Intel. Deberá consultar con el OEM de su computadora portátil o con el fabricante de la placa base de su PC para ver si han lanzado una actualización de firmware que corrige los fallos recientes.
Purism nos dijo en un correo electrónico que, aunque necesitan probar el nuevo firmware, piensan que todavía deberían poder usar el modo no documentado que la NSA también ha estado usando para continuar desactivando el ME en sus computadoras portátiles, ya que las recientes vulnerabilidades anunciadas por Intel no parecen relacionarse con esta.
La pregunta que me hago es que pasará con procesadores que están aún en operación en multitud de proveedores de hosting, que están más alla de su vida útil y que por lo tanto no recibiran ningún parche. Es muy común en la industria del hosting y de los VPS tener operando procesadores Xeon mucho más alla de que el fabricante ha decretado el final de su vida.
Pero como dicen, incluso hasta el camino más largo empiza con un primer paso. Por lo menos Intel ha reconocido que hay un problema y poco a poco toda los fabricantes de equipos que usan procesadores Intel deberán proveer un parche que solucione el problema. Aunque la verdadera y única solución sería deshabilitar el ME.