El principal defecto de Intel ME Firmware permite a los atacantes obtener el «modo Dios» en una máquina vulnerable.

En una presentación reciente realizada en Black Hat Europe en Londres , los investigadores de seguridad de Positive Technologies, Mark Ermolov y Maxim Goryachy revelaron cómo los atacantes sofisticados pueden explotar un desbordamiento de búfer que descubrieron en el firmware secreto de Intel Engine Engine 11 para obtener acceso no autorizado a ME, incluso cuando está desactivada.

Aunque el fabricante de chips lanzó una actualización de firmware el mes pasado que probablemente dieron solución a los problemas, aun así los investigadores afirman que los parches del vendedor para la vulnerabilidad pueden no ser suficientes para haber solucionado los problemas de forma permanente.

Para aquellos que no lo saben, Intel Management Engine (ME) que reside en Platform Controller Hub, es un co-procesador que potencia las funciones administrativas remotas de la compañía y tiene su propio sistema operativo, MINIX 3, un sistema operativo similar a Unix diseñado para monitorear su computadora, tiene acceso a casi todos los datos y procesos del sistema principal.

El mes pasado, Ermolov y Goryachy descubrieron cuatro vulnerabilidades de Positive Technologies que afectaron las versiones de firmware 11.0 a 11.20 de Intel ME. Se encontraron dos en versiones anteriores de ME, así como dos en Server Platform Services (SES) versión 4.0 firmware y dos en Trusted Execution Engine (TXE) versión 3.0.

Según los investigadores, un atacante necesitaría acceso físico y local a la máquina de la víctima para llevar a cabo el truco, lo que le daría el llamado control del «modo Dios» sobre el sistema y ejecute código arbitrario en el hardware afectado que no sería visible para el usuario o el sistema operativo principal.

Siguiendo las advertencias de los investigadores de seguridad, el fabricante de chips completó una auditoría de seguridad para identificar y explorar posibles vulnerabilidades que afectan al ME. En un aviso adjunto a sus usuarios el 20 de noviembre, Intel había dicho: «En respuesta a problemas identificados por investigadores externos, Intel ha realizado una exhaustiva revisión exhaustiva de seguridad de los siguientes con el objetivo de mejorar la resistencia del firmware:
• Intel Management Engine (Intel ME);
• Intel Trusted Execution Engine (Intel TXE);
• Intel Server Platform Services (SPS).

«Intel ha identificado vulnerabilidades de seguridad que podrían afectar ciertas PC, servidores y plataformas de IoT. Los sistemas que utilizan versiones de Intel ME Firmware 11.0.0 a 11.7.0, SPS Firmware versión 4.0 y TXE versión 3.0 se ven afectados.

«Para determinar si las vulnerabilidades identificadas afectan su sistema, descargue y ejecute la herramienta de detección Intel-SA-00086. Póngase en contacto con el fabricante de su sistema para obtener actualizaciones para los sistemas afectados».

Aunque los investigadores de Positive Tech ayudaron a Intel a corregir estos defectos, Ermolov y Goryachy argumentan que la solución no evita que un atacante use otros defectos para el ataque que Intel también parchó en la reciente actualización ME, ya que un atacante solo necesitaría «convertir un máquina a una versión vulnerable de Management Engine «para poder explotar los errores. Esto incluye desbordamientos de búfer en el kernel ME (CVE-2017-5705), el kernel Intel SES Firmware (CVE-2017-5706) y el kernel Intel TXE Firmware (CVE-2017-5707) que están plagando el sistema Intel ME 11 desde 2015, informa Dark Reading .

Los investigadores encontraron un desbordamiento del búfer de stack localmente explotable que permite la ejecución de código sin firmar en cualquier dispositivo con Intel ME 11 independientemente de que haya sido apagado o protegido por el software de seguridad.

«Si un atacante tiene acceso de escritura a la región de Management Engine, puede degradar a una versión más antigua y vulnerable de Management Engine y explotar así una vulnerabilidad», dijo Goryachy a Dark Reading.

«Desafortunadamente, no es posible defenderse completamente contra este defecto [de desbordamiento de búfer] en Intel ME», dice.

Si bien las vulnerabilidades requieren acceso local a una máquina afectada o las credenciales para acceder a ella, sí generan inquietudes con respecto a la posibilidad de ataques remotos. Los investigadores advirtieron que «dada la penetración masiva de dispositivos con chips de Intel, la escala potencial para los ataques es grande, todo, desde computadoras portátiles hasta infraestructura de TI empresarial, es vulnerable. Tal problema es muy difícil de resolver, ya que requiere que un fabricante actualice el firmware, y los atacantes que lo explotan pueden ser tan difíciles de detectar».

Cuando se le preguntó si Intel tiene algún plan para cambiar la forma en que funciona su motor de gestión o para ofrecer chips sin el ME, un vocero de la compañía recomendó que tales solicitudes se dirijan a los proveedores de hardware.

«Management Engine (ME) brinda una funcionalidad importante a nuestros usuarios, incluidas funciones como arranque seguro, autenticación de dos factores, recuperación del sistema y administración de dispositivos empresariales», dijo el vocero.

«Los propietarios del sistema con requisitos especializados deben ponerse en contacto con los fabricantes del equipo para este tipo de solicitud. Sin embargo, dado que cualquier configuración de este tipo elimina necesariamente la funcionalidad requerida en la mayoría de los productos convencionales, Intel no admite tales configuraciones».

Fuente: TechwormDark Reading , The Register

author image

About Reinaldo Alberto Valdiviezo Rojas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

También podría gustarte...

Actualice su navegador Firefox para corregir un error crítico que se puede explotar remotamente.
Tesla lanzará un automóvil al espacio
Los defectos de la CPU de Meltdown y Spectre afectan a los procesadores Intel, ARM y AMD
Error crítico de «Política de origen» en el navegador Samsung Android.