Intel ha anunciado públicamente un conjunto de vulnerabilidades de elevación de privilegios en Intel Management Engine (Intel ME), el subsistema encargado de la administración remota de cualquier dispositivo Intel que lleve este hardware integrado.
La plataforma Intel ME lleva en el mercado desde 2005, formando parte de diferentes chipsets de Intel y encargándose de realizar tareas relacionadas con la administración, seguridad y control de la integridad del sistema a muy bajo nivel (Ring -3). Su ciclo de actividad abarca diferentes estadios: durante el arranque del equipo; mientras el sistema operativo se encuentra activo; e incluso, cuando el equipo se encuentra suspendido.
Aunque hace años que se lleva investigando la viabilidad de explotar esta plataforma y de las consecuencias que esto conllevaría, no ha sido hasta este año 2017 que, tras recientes reportes alertando de diversas vulnerabilidades en módulos que lo conforman, como Active Management Technology (AMT), y una próxima presentación pública en la BlackHat Europe, por parte de Positive Technologies, Intel haya procedido a publicar y dar solución a un conjunto de vulnerabilidades que afectarían a la plataforma Intel ME (Intel SA-00086), descubiertas inicialmente por este grupo de investigadores.
Las vulnerabilidades presentadas, 8 en total (CVE-2017-5705, CVE-2017-5706, CVE-2017-5707, CVE-2017-5708, CVE-2017-5709, CVE-2017-5710, CVE-2017-5711, CVE-2017-5712), permitirían a un atacante elevar privilegios de seguridad y ejecutar código arbitrario sin ser detectado por el propio sistema operativo, dadas las características de bajo nivel de Intel ME.
En concreto, los subsistemas vulnerables serían Intel Management Engine (ME), Intel Server Platform Services (SPS), e Intel Trusted Execution Engine (TXE), viéndose afectados una amplia gama de dispositivos: desde ordenadores portátiles hasta servidores, pasando por dispositivos embebidos o de ocio (como Intel Compute Stick).
Listado de procesadores afectados:
- Familia de procesadores Intel Core de 6a, 7a y 8a generación.
- Familia de procesadores Intel Xeon E3-1200 v5 y v6
- Familia de procesadores Intel Xeon Scalable
- Familia de procesadores Intel Xeon W
- Familia de procesadores Intel Atom C3000
- Familia de procesadores Intel Apollo Lake Atom series E3900
- Familia de procesadores Intel Apollo Lake Pentium
- Familia de procesadores Intel Celeron N y J
Para facilitar las tareas de comprobación de dispositivos, Intel también ha publicado una herramienta para poder determinar si nuestros sistemas se ven afectados por estas vulnerabilidades:
 |
| Comprobación de sistema no afectado. |
Inicialmente, el ataque sólo puede ser ejecutado de manera local, teniendo acceso físico al equipo, y no existen reportes de que pueda estar siendo explotado remotamente. Pero, según Rapid7, existe un incremento en los escaneos de puertos asociados a Intel ME/AMT, dada la capacidad de gestión remota de la plataforma.
Dado que no es posible desactivar Intel ME de manera sencilla, la única solución viable es actualizar el firmware contactando con el fabricante de nuestro equipo o, como alternativa, sustituir la propia BIOS en los pocos casos en los que es posible.
Diversos fabricantes ya han publicado o planificado soluciones oficiales a estas vulnerabilidades:
José Mesa
@jsmesa
Más información:
Intel fixes vulnerability found by Positive Technologies researchers in Management Engine
https://www.ptsecurity.com/ww-en/about/news/288260/
Intel Q3’17 ME 11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
Intel® Management Engine Critical Firmware Update (Intel SA-00086)
https://www.intel.com/content/www/us/en/support/articles/000025619/software.html
Intel-SA-00086 Detection Tool
Intel Q3’17 ME 11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
Intel® Management Engine Critical Firmware Update (Intel SA-00086)
https://www.intel.com/content/www/us/en/support/articles/000025619/software.html
Intel-SA-00086 Detection Tool
INTEL-SA-00086 Security Bulletin for Intel Management Engine (ME) and Advanced Management Technology (AMT) Vulnerabilities: What You Need To Know
Disabling Intel ME 11 via undocumented mode
http://blog.ptsecurity.com/2017/08/disabling-intel-me.html
http://blog.ptsecurity.com/2017/08/disabling-intel-me.html
Intel x86s hide another CPU that can take over your machine (you can’t audit it)
Deja un comentario