Los procesadores Intel incorporan el Intel Management Engine, un subsistema que reside en el hardware de sus procesadores (desde 2008) y que permite realizar conexiones remotas, independientemente del sistema operativo utilizado. Hace unos meses se descubrió que además podía ser explotado por terceros, mediante una escalada de privilegios. Una vulnerabilidad que se saltaba cualquier protección de arranque, y permitía acceder directamente a la BIOS, arrancar o apagar el sistema, etc. Tu portátil con procesador Intel con un rootkit incorporado de fábrica. Intel ha publicado una herramienta para Windows y GNU/Linux para saber si tu procesador está afectado.
Intel Management Engine (IME) es un coprocesador integrado en todos los procesadores de Intel fabricados después de 2006. Este coprocesador tiene acceso completo a la red y a la memoria y ejecuta código cerrado y propietario independientemente de la BIOS, el procesador principal y el sistema operativo, un hecho que es un riesgo de seguridad inaceptable. En esta guía se detalla cómo desactivar IME usando varias herramientas que operan en el firmware del PC almacenado en el chip de la BIOS.
El firmware super secreto de Intel, Management Engine, accedido a través de USB
A raíz de la publicación de una vulnerabilidad basada en el bypass de la clave del Intel Active Management Technology 1-Mayo-2017 (CVE-2017-5689) saltaron las alarmas y desde la FSF avisaban de la gran amenaza para la seguridad y demandaban una forma de desactivar dicho controlador.
En el tema de la seguridad informática hace tiempo que mi mayor preocupación, es algo que tampoco podemos controlar: la inclusión de código en el firmware de nuestro hardware, que pueda actuar con un backdoor y no pueda ser auditado.
Para mitigar esa amenaza puntual, Intel liberó algunos parches, pero quedó lejos de proporcionar una solución general, para deshabilitar o eliminar esa función a voluntad. Algunos desarrolladores mediante ingeniería inversa han conseguido desvelar algunos de sus secretos, pero las soluciones propuestas quedan lejos del usuario común y corriente.
La desactivación de Intel ME –así como su verificación de que realmente se había llevado a cabo– no ha sido sencilla. Factores determinantes en la misma han sido el uso que Purism hace de su propio firmware de BIOS, donde una versión actualizada de Coreboot se encarga de realizar dicho trabajo.
Un usuario de la increíble comunidad de Gentoo ha publicado una guía detallada del proceso de eliminación del 1ntel Me, usando las herramientas MEAnalyzer & me_cleaner: Wiki_Gentoo_Disabling_Intel_ME. Más informaci´n de la mano de la compañia de ordenadores puri.sm Y otra guia más en inglés…
Herramienta de Intel para detección de Intel-SA-00086
- Familia de procesadores de 6ª, 7ª y 8ª Generación Intel® Core™.
- Familia de productos Intel® Xeon® E3-1200 v5 y v6.
- Familia de productos Intel® Xeon® Processor Scalable.
- Familia de procesadores Intel® Xeon® Processor W Family.
- Familia de procesadores Intel® Atom® C3000.
- Familia de productos Apollo Lake Intel® Atom Processor E390.
- Familia de productos Apollo Lake Intel® Pentium™.
- Procesadores serie Celeron™ N y J.
