Descubierta importante vulnerabilidad en el AMT de Intel
Se ha descubierto un importante fallo de seguridad en el Active Management Technology (AMT) de Intel, que permite tomar el control de los ordenadores que utilizan dicha tecnología, mediante una escalada de privilegios.
Que es AMT
Se trata de un subsistema que reside en el firmware de muchos de sus procesadores y que permite realizar conexiones remotas sin depender del sistema operativo, con el objetivo de llevar a cabo operaciones de monitorización,reparación,o actualización.
AMT es capaz de burlar cualquier firewall o medida de protección presente en nuestro sistema, incluso –bajo ciertas condiciones– el secure boot.
La vulnerabilidad
La vulnerabilidad se puede explotar de forma local (con acceso físico a la máquina) o a través de alguien que esté conectado en nuestra misma red (en un Wi-Fi público por ej.). En este último caso se haría a través de los puertos abiertos 16992, 16993, 16994, 16995, 623,y 664 que utiliza AMT para comunicarse.
Afecta a Active Management Technology AMT y otras tecnologías de Intel como Standard Manageability (ISM) y Small Business Technology (SBT) agrupadas en la plataforma vPro, en sus versiones de firmware de 6 a 11.6 (desde Nehalem en 2008 hasta Kaby Lake en 2017).
Es un problema descubierto ahora, pero que se lleva arrastrando desde hace 10 años, aunque se desconoce si ha llegado a explotarse en algún momento. El hecho de ser código cerrado también dificulta saber el alcance exacto de la vulnerabilidad.
Aunque en Intel quieren reducir daños restringiendolo al ámbito profesional y no al de la computación personal o de ocio, es posible que si tenéis un equipo relativamente reciente venga por defecto con esa tecnología (lo acabo de comprobar en mi Lenovo ThinkPad t510, modelo que ya tiene unos años). Dependiendo del fabricante puede venir o no habilitado.
¿Y ahora que? ¿Vamos a morir todos?
Para ver si nos atañe este problema, podemos ver en un primer momento si nuestro chip coincide con alguno de los afectados. Para saber nuestro modelo de procesador podemos ejecutar:
cat /proc/cpuinfo | grep model
A continuación tal como recomienda el experto en seguridad Matthew Garret, podemos ejecutar el comando:
lspci
Si en el resultado no encontramos ninguna referencia a “MEI” o “HECI”, implicará que estamos a salvo de dicha tecnología.
En caso positivo debemos confirmar en la configuración de la BIOS si está habilitada. Toca reiniciar el equipo, ejecutar la combinación de teclas recomendada para acceder a la BIOS y buscar dicho apartado.
En muchos casos lo vais a encontrar deshabilitado, pero eso no significa necesariamente que el Active Management Technology no esté funcionando a cierto nivel, como confirma la propia Intel en el caso de los Lenovo.
Lo ideal por tanto sería esperar a la actualización del firmware por parte de los fabricantes, a los que Intel ya ha proporcionado el parche correspondiente.
Esas actualizaciones a veces no llegan y en Linux ese tema siempre lo tenemos complicado, así que para más seguridad podemos tirar del comando netstat y ver si se escucha algo en los puertos afectados, con herramientas como:
netstat -putona | egrep '16992|16993|16994|16995|623|664'
- nmap:
nmap -p 16992,16993,16994,16995,623,664 192.168.0.1/24
En este caso todo lo que sea “closed” es bueno.
Como veis un sistema operativo fiable y unas pautas de comportamiento seguras, apenas pueden hacer nada contra estas tecnologías cerradas incrustadas en el chip. Por ello desarrollos como los de Libreboot y Coreboot son tan interesantes a la hora de reemplazar este tipo de firmware.
Via: lamiradadelreplicante.com