Intel CSME bug es peor de lo que se pensaba

Los investigadores de seguridad dicen que un error en una de las tecnologías de CPU de Intel que se parchó el año pasado es en realidad mucho peor de lo que se pensaba anteriormente. "La mayoría de los chipsets Intel lanzados en los últimos cinco años contienen la vulnerabilidad en cuestión", dijo Positive Technologies en un informe publicado hoy. Los ataques son imposibles de detectar, y un parche de firmware solo soluciona parcialmente el problema.
Para proteger los dispositivos que manejan operaciones delicadas, los investigadores recomiendan reemplazar las CPU con versiones que no se vean afectadas por este error. Los investigadores dijeron que solo los últimos chips Intel de décima generación no son vulnerables. La vulnerabilidad real se rastrea como CVE-2019-0090 e impacta en el motor de gestión y seguridad convergente de Intel (CSME), anteriormente llamado Intel Management Engine BIOS Extension (Intel MEBx).
El CSME es una característica de seguridad que se incluye con todas las CPU Intel recientes. Se considera una "base criptográfica" para todas las demás tecnologías y firmware de Intel que se ejecutan en plataformas basadas en Intel. Según Mark Ermolov, Especialista Principal de Seguridad de SO y Hardware de Positive Technologies, el CSME es uno de los primeros sistemas que comienza a ejecutarse y es responsable de verificar y autenticar criptográficamente todo el firmware cargado en las computadoras basadas en Intel.
Por ejemplo, el CSME es responsable de cargar y verificar el firmware UEFI BIOS y el firmware para el PMC (Administración de energía Controlador), el componente que gestiona la fuente de alimentación de un chipset. El CSME también es "la base criptográfica" para otras tecnologías de Intel como Intel EPID (ID de privacidad mejorada), Intel Identity Protection, cualquier tecnología DRM (Digital Rights Management) o TPM basados ​​en firmware (Trusted Platform Modules). En otras palabras, el CSME es, básicamente, una "raíz de confianza" para cualquier otra tecnología que se ejecute en los conjuntos de chips Intel.
En mayo de 2019, con el lanzamiento de la actualización de seguridad Intel-SA-00213, Intel parchó un error en las CPU Intel que impactó esta raíz de confianza: el CSME. En ese momento, la vulnerabilidad CVE-2019-0090 solo se describía como un error de firmware que permitía a un atacante con acceso físico a la CPU escalar privilegios y ejecutar código desde el CSME. Otras tecnologías de Intel, como Intel TXE (Trusted Execution Engine) y SPS (Server Platform Services), también se incluyeron como afectadas.
Pero en una nueva investigación publicada hoy, Ermolov dice que el error puede ser explotado para recuperar la clave del chipset, que es la clave criptográfica raíz que puede otorgarle a un atacante acceso a todo en un dispositivo. Además, Ermolov dice que este error también puede ser explotado a través del "acceso local", mediante malware en un dispositivo, y no necesariamente al tener acceso físico a un sistema. El malware necesitará tener acceso a la ejecución del código a nivel del sistema operativo (privilegios de raíz) o al nivel del BIOS, pero este tipo de malware se ha visto antes y probablemente no sea un obstáculo para atacantes determinados y hábiles que sean lo suficientemente inteligentes como para saber apuntar al CSME.
La vulnerabilidad ocurre, según Ermolov, porque el firmware CSME se deja desprotegido en la ROM de arranque durante el arranque temprano. La clave del chipset se puede extraer mediante varios métodos durante este breve intervalo, dijo el investigador. "La aplicación del parche para SA-00213 previene el vector de explotación ISH (Integrated Sensors Hub), pero no soluciona el error en la ROM de arranque CSME", dijo Ermolov a ZDNet en un correo electrónico, explicando que el parche de firmware Intel repara solo algunos de los problema.
La revisión completa de este vector de ataque requerirá reemplazar la CPU, dijeron los investigadores de Positive Technology. Pero si bien esta vulnerabilidad podría usarse con fines ofensivos, como extraer la clave del chipset de un servidor para descifrar el tráfico y otros datos, también hay otro "nicho" para el que el error puede sonar bastante atractivo. Ermolov señala que el error también puede ser utilizado por los usuarios en sus propias computadoras para evitar las protecciones DRM y acceder a contenido protegido por derechos de autor.
El investigador planea publicar un documento técnico con más detalles técnicos a finales de esta primavera, momento en el cual los miembros de la comunidad de piratería en línea probablemente también se interesarán por este error. Contactado para hacer comentarios, Intel reafirmó que el error solo puede explotarse a través del acceso físico e instó a los usuarios a aplicar las actualizaciones de mayo de 2019. "Desafortunadamente, ningún sistema de seguridad es perfecto", dijo Positive Technologies.
pag VER GALERÍA COMPLETA.