Vulnerabilidad en Intel ME expone las claves de encriptación: Actualización de firmware ya disponible
Intel lanzó este martes actualizaciones de firmware debido a fallo de seguridad que puede permitir a un atacante recuperar, modificar o eliminar datos almacenados en chip de la CPU de Intel.
La vulnerabilidad afecta a Intel Converged Security and Manageability Engine (CSME), que es un chip independiente que se ejecuta en las CPU de Intel y que se utiliza para las operaciones de administración remota.
El CSME, anteriormente conocido como Management Engine BIOS Extension, incluye componentes como Intel Management Engine (ME) utilizado con los chipsets principales de Intel, Server Platform Services (SPS) utilizado para servidores y Trusted Execution Engine (TXE) utilizado como un motor de administración remota para tabletas y dispositivos integrados.
Intel ME, SPS y TXE funcionan como un ordenador independiente en la parte superior de la CPU principal de Intel utilizada por los usuarios finales. Estos componentes vienen con su propio sistema operativo, memoria, interfaz de red y sistema de almacenamiento.
Algunos expertos en seguridad califican el Intel ME como un "anillo de seguridad -3", que va más allá de los rootkits de nivel 0 (kernelmode), nivel -1 (hipervisor) o nivel -2 (SMM, System Management Mode).
"Intel ME podría ser como un rootkit supervitaminado en malas manos".
Debido a que estos componentes son necesarios para el mantenimiento de PC, son extremadamente potentes y los datos almacenados en su almacenamiento interno (conocido como el sistema de archivos ME o MFS) se cifran con cuatro claves criptográficas para garantizar la privacidad y la seguridad.
Estas cuatro claves criptográficas son: Intel Integrity Key, Non-Intel Integrity Key, Intel Confidentiality Key y Non-Intel Confidentiality Key, cada una con su rol diferente.
Investigadores consiguieron recuperar esa claves criptográficas
Los investigadores de Positive Technologies (PT) dicen que encontraron una manera de recuperar dos de estas claves: Non-Intel Integrity Key y la Non-Intel Confidentiality Key.
Un atacante con acceso a la clave "Non-Intel Integrity" puede agregar, eliminar o cambiar archivos en el sistema de almacenamiento ME/SPS
/TXE. Por otro lado, con la clave de "Non-Intel Confidentiality" se utiliza para cifrar la contraseña de la tecnología Intel Active Management Technology (AMT), la tecnología que es responsable de proporcionar funciones de administración remota en el corazón de los componentes ME, SPS y TXE.
No es la primera vez que se exponen las claves
Esta no es la primera vez que los investigadores de PT obtienen acceso a estas claves. En 2017, los investigadores de PT utilizaron una vulnerabilidad en una interfaz de depuración conocida como JTAG para recuperar las cuatro claves de cifrado utilizadas por Intel ME, SPS y TXE.
Esta vez, los investigadores de PT dicen que usaron el mismo ataque, pero en lugar de intentar recuperar las cuatro claves de cifrado, lo usaron para obtener información que se usaron para calcular las dos claves que no son de Intel.
Los investigadores dicen que su nuevo ataque obtuvo acceso al secreto de raíz inmutable non-Intel, que es uno de los dos valores, junto con el Número de versión de seguridad de Intel (SVN), se usa para calcular las claves non-Intel. Como el SVN es un valor estático, es simple derivar la **clave "Non-Intel Integrity" y la clave "Non-Intel Confidentiality" conociendo estos dos valores.
¿Cómo protegernos?
Intel recientemente ha lanzado las actualizaciones de firmware para ME, SPS y TXE este martes que abordan esta vulnerabilidad, rastreada como CVE-2018-3655.
Lo único que tenemos que hacer es instar todas las actualizaciones tanto de Firmware como de Software en nuestro ordenador para evitar esta peligrosa vulnerabilidad.