Le piattaforme Intel dotate di funzioni di gestione remota, prodotte dal 2008 ad oggi, sono state esposte a una grave falla di sicurezza che se sfruttata consentirebbe a un attaccante di scalare i privilegi di sistema e di assumere il pieno controllo dei computer connessi alle reti vulnerabili. A renderlo noto a distanza di 9 anni è lo stesso colosso di Santa Clara, tramite una nota rilasciata dal suo Security Center . Il bug in questione è stato scoperto e riportato ( CVE-2017-5689 ) nel mese di marzo da Maksim Malyutin, ricercatore presso Embedi .
La falla di sicurezza potrebbe affliggere tutti i chip della serie Core di Intel , da Nehalem a Kaby Lake dotati di Active Management Technology (AMT), Standard Manageability (ISM) e Small Business Technology (SBT) con firmware compresi tra le versioni 6 (per la prima generazione della famiglia Core: Nehalem) e 11.6 (per la settima generazione di Core Intel: Kaby Lake). Non impatta dunque i firmware precedenti alla 6 e successivi alla 11.6. Inoltre, il problema non sussiste per le CPU consumer , ma riguarda esclusivamente i chip dotati di tecnologia vPro . Per facilitare l’identificazione delle piattaforme vulnerabili Intel ha rilasciato una specifica guida in formato PDF .
Alcuni ricercatori affermano che la falla potrebbe essere sfruttata da remoto (via Internet e non solo in locale) esclusivamente se il servizio AMT è abilitato e fornito all’interno di una rete.
Quando configurati, AMT e ISM ascoltano automaticamente il traffico di rete: il traffico ricevuto sulle porte 16992, 16993, 16994, 16995, 623 e 664 su una macchina che utilizza AMT ha i dati inoltrati direttamente al Management Engine (ME), escludendo la CPU principale.
Secondo Matthew Garrett , Linux Kernel guru e security engineer presso Google, occorre infatti assicurarsi di aver disattivato la tecnologia Active Management Technology di Intel: “Per risolvere il problema è necessario un aggiornamento del firmware di sistema che installi un nuovo Management Engine (includendo una copia aggiornata del codice AMT). Molte delle macchine afflitte, però, non ricevono più aggiornamenti firmware e probabilmente non riceveranno mai un fix. Chiunque abiliti AMT su uno di questi dispositivi sarà vulnerabile. Tutto ciò ignorando il fatto che gli aggiornamenti firmware raramente vengono contrassegnati come critici per la sicurezza (e generalmente non vengono diffusi tramite Windows Update), pertanto anche se un aggiornamento viene reso disponibile, gli utenti non ne verranno probabilmente a conoscenza o non li installeranno”.
Per altri ricercatori, invece, i requisiti per un attaccante che voglia riuscire nel suo intento da remoto sono ben più elevati. È necessario che su Windows il software Local Manageability Service ( LMS ) sia in esecuzione. È di questo parere HD Moore, VP Research & Development presso Atredis Partners: “Sembra che sia possibile sfruttare il bug a distanza solo se il servizio LMS è in esecuzione sul sistema interessato. Solo i server che eseguono quel servizio (rispetto ai PC desktop) con la porta raggiungibile sono esposti all’esecuzione di codice in modalità remota”.
Moore afferma che tramite una ricerca su Shodan ha rilevato meno di 7.000 server con le porte di comunicazione 16992 o 16993 aperte (requisito necessario per eseguire l’attacco da remoto), ma il numero di server rappresenta una minaccia sostanziale: decine di migliaia di computer potrebbero essere connessi ad alcuni di questi host.
In definitiva, le aziende che necessitano di avere LMS e AMT abilitate nelle loro reti devono rendere l’installazione del firmware patchato una priorità assoluta . Per chi non può installare immediatamente gli aggiornamenti o nei casi in cui non siano disponibili firmware OEM aggiornati, Intel ha rilasciato una ” Mitigation Guide “: un set di istruzioni per risolvere temporaneamente il problema. Gli aggiornamenti firmware, infatti, anche se sviluppati da Intel, devono essere firmati crittograficamente dai vari produttori e poi distribuiti. In alcuni casi questa procedura potrebbe richiedere settimane o, come nel caso di hardware legacy (non più supportato), la soluzione potrebbe non arrivare mai.