Intel tiene desde el 2008 un bug en los firmwares de los sistemas AMT (Active Management Technology), ISM (Standard Manageability) y SBT (Small Business Technology) desde la versión 6 hasta la 11.6. Un bug o fallo que permite a un atacante sin privilegios tomar el control de las funciones de administración proporcionadas por estos productos.
Potencialmente esto podría llevar a que los sistemas fuesen explotados por control remoto o infectado con spywares, y quizá hubo casos donde esto sucedió y ni siquiera lo sabemos.
Mediante este fallo, los atacantes podrían entrar en el hardware vulnerable, independientemente de las características de seguridad proporcionadas por el sistema operativo o suites de antivirus, y de manera silenciosa instalar cualquier tipo de código malicioso. Incluso gracias a que AMT tiene acceso directo al hardware de red del equipo, esto podría realizarse de manera remota, sin necesidad de tener acceso local al equipo.
El servicio vulnerable AMT forma parte del conjunto de características vPRO ofrecidas por Intel y orientadas generalmente a empresas y servidores, por lo que los consumidores no deberían estar afectados aunque todos sabemos que algunas veces se destinan estos productos a usos caseros.
Si no se usa vPRO o AMT en teoría no se corre peligro, pero otros reportes aseguran que los sistemas Intel son igualmente vulnerables al acceso directo al hardware, solo que en este caso unicamente de manera local, y el acceso a través de la red no estaría disponible.
Estas características de gestión inseguras llevan disponibles casi una década, comenzando con el Core i7 Nehalem disponible en 2008 y llegando a los Kaby Lake de este mismo año. Por suerte, parece que esta "característica" se puede arreglar mediante una actualización del microcódigo, sin embargo esta actualización tiene que ser proporcionada por los fabricantes de sistemas (para equipos de ensambladores), por lo que es de imaginar la dificultad de que todos los sistemas afectados sean parcheados.
Si que es justo, y hay que mencionar, que aunque la vulnerabilidad lleva presente desde el 2008 ha sido descubierta y reportada a Intel en marzo de este año por Maksim Malyutin, un investigador de seguridad de la compañía Embedi, y etiquetada como CVE-2017-5689, (lo que no quiere decir que algún grupo o agencia la encontrase anteriormente y la aprovechase, sin publicarla).
Intel mantiene que los PC's de consumo no se ven afectados, que no tienen constancia de que la vulnerabilidad haya sido explotada y que han implementado y validado una actualización de firmware para resolver el problema, asi mismo cooperan con los fabricantes de equipos para que este disponible tan pronto como sea posible para los usuarios finales.
De acuerdo con Intel el problema se manifestaría de las siguientes maneras:
- Un atacante de red sin privilegios podría obtener privilegios de sistema para la gestión a través de: Intel Active Management Technology (AMT) e Intel Standard Manageability (ISM).
- Un atacante local sin privilegios podría conseguir funciones de administración que obtuvieran privilegios de red o privilegios locales en la capacidad de administración de: Intel AMT, Intel ISM e Intel Small Business Technology.
Ya se esté usando AMT, ISM o SBT, las versiones de firmware que se deben buscar (dependiendo de la generación de la familia de procesadores que estemos usando) son:
- Familia de la primera generación: 6.2.61.3535
- Familia de la segunda generación: 7.1.91.3272
- Familia de la tercera generación: 8.1.71.3608
- Familia de la cuarta generación: 9.1.41.3024 y 9.5.61.3012
- Familia de la quinta generación: 10.0.55.3000
- Familia de la sexta generación: 11.0.25.3001
- Familia de la séptima generación: 11.6.27.3264
En el primer enlace hay un documento para ver si se dispone de un sistema compatible con estas características afectadas y en este segundo una guía para ver si dispone de un firmware afectado.
