Imagen: UnsplashLa vulnerabilidad corregida permitió explotar un error peligroso en el subsistema Intel Management Engine y aún puede estar presente en dispositivos de otros proveedores que usan procesadores Intel.
Apple lanzó una actualización para macOS High Sierra 10.13.4 que aborda la vulnerabilidad en el firmware de la computadora personal (
CVE-2018-4251 ) descubierta por los expertos de Positive Technologies Maxim Goryachy y Mark Ermolov. Los detalles se proporcionan en el
sitio web de soporte técnico de Apple .
Así es como Maxim Goryachy describe el problema: “La vulnerabilidad permite que un atacante con derechos de administrador obtenga acceso no autorizado a partes críticas del firmware, escriba una versión vulnerable de Intel ME allí y, a través de su operación, se arregle en secreto en el dispositivo. En el futuro, podrá obtener un control completo sobre la computadora y realizar actividades de espionaje, sin la menor probabilidad de ser detectado ".
Acerca del modo de fabricación
Intel ME tiene un modo de operación especial: el llamado modo de fabricación, que está destinado a ser utilizado exclusivamente por los fabricantes de placas base. Este modo proporciona capacidades adicionales que puede usar un atacante. Los investigadores, incluida nuestra empresa (
Cómo convertirse en el único propietario de su PC ), ya han hablado sobre los peligros de este modo y su efecto en el funcionamiento de Intel ME, pero muchos fabricantes aún no lo desactivan.
Mientras está en modo de fabricación, Intel ME le permite ejecutar un comando especial, después de lo cual la región ME se puede escribir a través del controlador SPI incorporado en la placa base. Al tener la capacidad de ejecutar código en el sistema bajo ataque y enviar comandos a Intel ME, un atacante puede sobrescribir el firmware de Intel ME
, incluida la versión vulnerable a CVE-2017-5705, CVE-2017-5706 y CVE-2017-5707 , y por lo tanto ejecutar código arbitrario en Intel ME incluso en sistemas con el parche instalado.
Resultó que en MacBook este modo también está activado. Aunque el firmware en sí mismo proporciona protección adicional contra un ataque al reescribir regiones SPI Flash (si el acceso a una región está abierto, el firmware no permite cargar el sistema operativo), los investigadores encontraron un comando no documentado que reinicia Intel ME sin reiniciar el sistema principal, lo que lo hizo posible elusión de esta protección. Vale la pena señalar que se puede llevar a cabo un ataque similar no solo en las computadoras Apple.
Positive Technologies ha desarrollado una utilidad especial que le permite verificar el estado del modo de fabricación. Puedes descargarlo desde este
enlace . Si el resultado de la comprobación muestra que el modo está activado, le recomendamos que se ponga en contacto con el fabricante de su computadora para obtener instrucciones sobre cómo desactivarlo. La utilidad está diseñada para Windows y Linux, ya que los usuarios de computadoras Apple solo instalan la actualización anterior.
Acerca del motor de gestión Intel
El Intel Management Engine es un microcontrolador integrado en el chip Platform Controller Hub (PCH) con un conjunto de periféricos integrados. A través de PCH, casi toda la comunicación entre el procesador y los dispositivos externos se lleva a cabo, por lo que Intel ME tiene acceso a casi todos los datos en la computadora. Los investigadores lograron encontrar un
error que permite ejecutar código sin firmar dentro de PCH en cualquier placa base para procesadores de la familia Skylake y superiores.
Sobre la escala del problema
Los conjuntos de chips Intel vulnerables se utilizan en todo el mundo, desde computadoras portátiles domésticas y de trabajo hasta servidores empresariales. Una
actualización publicada anteriormente por Intel no excluía la posibilidad de explotar las vulnerabilidades CVE-2017-5705, CVE-2017-5706 y CVE-2017-5707, ya que si un atacante tiene acceso de escritura a la región ME, siempre puede grabar la versión vulnerable de ME y explotar la vulnerabilidad en ella