Intel repara fallas en procesadores que afectan a millones de computadoras y servidores

Este lunes, Intel publicó parches para proteger a millones de PCs y servidores contra las vulnerabilidades encontradas en el Motor de Administración, el Motor de Ejecución de Confianza y los Servicios de Plataforma de Servidor. Estas fallas podrían ser explotadas por atacantes locales para elevar sus privilegios, ejecutar cualquier tipo de códigos, colapsar sistemas y espiar las comunicaciones de los usuarios.

En un boletín de seguridad (INTEL-SA-00086) publicado en la noche del lunes, Intel explicaba que los parches respondían a las notificaciones sobre varias vulnerabilidades que investigadores externos habían realizado este año. La notificación sobre vulnerabilidades externas hizo que de inmediato se realizara una revisión interna del Motor de Administración, del Motor de Ejecución de Confianza y de los Servicios de Plataforma del Servidor de Intel.

La compañía dijo que la falla afectó a millones de dispositivos con procesadores Intel Core de sexta, séptima y octava generación, además de sus otros procesadores, como Xeon, Atom, Apollo Lake y Celeron.

“Los elementos identificados en la profunda revisión de seguridad nos hicieron llegar a la conclusión de que un atacante podría penetrar en la plataforma, en el Motor de Administración y acceder a los secretos de terceras partes protegidos por el Motor de Administración (ME), en el Servicio de Plataforma de Servidor (SPS) o en el Motor de Ejecución de Confianza (TXE)”, indica la nota.

Hay ocho conocidas vulnerabilidades de seguridad (CVE) asociadas con las vulnerabilidades. Estas fallas permiten que los atacantes imiten el ME, el SPS y el TXE y afecten la “validez de la certificación de la función de seguridad local”. Los ciberpiratas podrían cargar y ejecutar códigos arbitrarios sin que el usuario ni el sistema operativo se enteren, o podrían colapsar el sistema o provocar su inestabilidad, agregó Intel.

“El hecho de que estas fallas críticas de seguridad hayan aparecido en hardware que casi todas las organizaciones en todo el mundo poseen, demuestra que todas deben tener esto en cuenta”, dijo James Maude, ingeniero jefe de seguridad de Avecto. “Vulnerabilidades como esta son especialmente peligrosas porque permiten que el atacante opere por encima del sistema operativo y evada las medidas tradicionales de seguridad”.

Cada una de las funciones ME, SPS o TXE se activan por defecto, por lo que los CPUs afectados tienen que parcharse, afirmó Intel.

Los investigadores de Positive Technologies fueron los primeros en identificar tres fallas (CVE-2017-5705, CVE-2017-5706 y CVE-2017-5707) en CPUs Intel en octubre. Después de notificar a Intel sobre su descubrimiento, Intel realizó su propia revisión de CPUs e identificó otras cinco fallas.

“El ME es el corazón de una gran cantidad de dispositivos en todo el mundo, por lo que nos parece importante evaluar su estado de seguridad”, apuntó Maxim Goryachy, uno de los investigadores de Positive Technologies que descubrió las vulnerabilidades. “Se sitúa en un nivel muy profundo del sistema operativo y logra acceder a una serie de datos, desde información en el disco duro, hasta el micrófono y unidades USB.  Con este alto nivel de privilegios de acceso, un ciberpirata podría también utilizarlo para atacar un sistema sin que el radar de las soluciones antivirus tradicionales lo detecten”.

Intel identificó las vulnerabilidades:

CVE-2017-5705 : Múltiples desbordamientos del búfer en el núcleo del firmware ME de Intel que permiten que el atacante tenga acceso local al sistema y ejecute códigos arbitrarios.

CVE-2017-5708 :  Múltiples escaladas de privilegio en el núcleo del firmware ME de Intel que permiten el acceso de procesos no autorizados a contenidos mediante un vector no especificado.

CVE-2017-5711 y CVE-2017-5712: Múltiples desbordamientos del búfer en la AMT (Tecnología de Administración Activa) en el firmware ME que permite que un atacante con acceso local al sistema ejecute códigos arbitrarios con privilegio de ejecución AMT.

CVE-2017-5706 : Múltiples desbordamientos del búfer en el firmware SPS 4.0 de Intel que permite que un atacante con acceso local al sistema ejecute códigos arbitrarios.

CVE-2017-5709 : Múltiples escaladas de privilegios en el núcleo del firmware SPS 4.0 de Intel que permiten que procesos no autorizados accedan a contenidos privilegiados mediante un vector no especificado.

CVE-2017-5707 : Múltiples desbordamientos de búfer en el núcleo del firmware TXE 3.0 de Intel que permiten que un atacante con acceso local al sistema ejecute códigos arbitrarios.

CVE-2017-5710 : Múltiples escaladas de privilegios en el firmware TXE 3.0 de Intel que permiten que un proceso no autorizado acceda a contenidos privilegiados mediante un vector no especificado.

La preocupación por el Motor de Administración de Intel ha existido por años. En mayo, Intel parchó en su AMT una vulnerabilidad crítica que databa de hace nueve años, la cual se basa en el ME. Esa vulnerabilidad podría permitir que un atacante acceda de forma remota a los servicios AMT, como teclado, video y ratón (KVM), desvío IDE, Serial sobre LAN, y configuración y edición de BIOS.

En agosto, Positives Technologies publicó un informe sobre cómo el gobierno de EE.UU. puede desactivar el ME pero el público no lo puede hacer.

Las sospechas sobre la implementación de la AMT de Intel se remontan a 2012, con referencias a una “puerta trasera activada por defecto“. Una falla que identificó y reportó en junio de 2016 el investigador Damien Zammit indicaba que había en el ME de Intel una falla de seguridad que podía explotarse de forma remota y que creaba una puerta trasera secreta que permitía que terceras partes usaran rootkits indetectables contra las PCs con Intel. Intel negó estas afirmaciones.

“Hemos trabajado con los fabricantes de equipos sobre las actualizaciones de firmware y software y solucionando estas vulnerabilidades, y estas actualizaciones están disponibles ahora. Compañías, administradores de sistemas y propietarios de sistemas que utilicen PCs o dispositivos que incorporen estos productos de Intel deben recurrir a los fabricantes o vendedores de tales equipos para las actualizaciones de sus sistemas y aplicarlas lo antes posible”, afirmaba Intel.

Los investigadores de Rapid7 sostuvieron que las mitigaciones previas a los parches deberían incluir la segmentación de componentes críticos de servidores, especialmente los puertos de administración de Ethernet para dichos servidores, además de implementar un monitoreo adicional de la actividad en redes y en el sistema.

“No hay soluciones alternativas reales. El único curso de acción para proteger una organización son los parches. Los sistemas que carezcan de parches disponibles tendrán que retirarse o mejorarse”, afirmaba Bob Rudis, jefe científico de datos de Rapid7. Y añadía: “Intel ha implementado una página de seguimiento con la información de fabricantes y de parches.

“Es crucial que las organizaciones tomen muy en serio estas vulnerabilidades y creen flujos de parches lo antes posible”, concluía.

Por su parte, Positive Technologies indicó que el próximo mes publicaría más detalles de su investigación en una sesión de Black Hat Europe, bajo el título de “Cómo penetrar una computadora apagada o usar códigos sin firma en el motor de administración de Intel“.

Fuente: Threatpost