Intel ha una falla, tutto quello che c’è da sapere
Durante l’inizio della scorsa settimana, Intel Corporation ha rilevato una grave falle di sicurezza nei chip. Questo ha lasciato i dispositivi che montano i processori sviluppati dalla stessa azienda, esposti a pericolosi attacchi. Con il tempo, il team di sicurezza dell’azienda è riuscito ad individuare il problema rendendosi conto che è molto più grave di quanto poteva sembrare in precedenza. Infatti, l’exploit presente nei chip potrebbe consentire di controllare i dispositivi da remoto.
Come dichiarato dalla più grande azienda multinazionale produttrice di dispositivi a semiconduttore, non è ancora chiaro quanti siano i dispositivi affetti dal problema descritto in precedenza. Sul web, ci sono stati vari dati preoccupanti, come 8.000 dispositivi coinvolti.
Una problematica molto pericolosa per Intel
Dopo varie ricerche, i ricercatori Intel hanno scoperto che la vulnerabilità si trova nell’Active Management Technology (ATM). Questa tecnologia permette ai dispositivi di essere controllati da remoto, per semplificare la gestione e la manutenzione dei device dal punto di vista software, sopratutto per le aziende. La tecnologia ATM, per evitare malfunzionamenti, è stata installata direttamente sul chip e non nel software di ogni singolo dispositivo. L’amministrato con accesso al pannello ATM, è in grado di:
- Controllare da remoto il mouse, il monitor e la tastiera di un computer
- Cambiare il dispositivo da cui si avvia il computer (boot)
- Accendere, riavviare e spegnere un computer
- Ripristinare un computer
Proprio per questo, l’intrusione di “ospiti indesiderati” all’interno del pannello di controllo di ATM, potrebbe causare problemi molto seri.
Intel, gli aspetti tecnici della falla
Scoperta nel Febbraio del 2017, alla vulnerabilità venne assegnato il nome in codice CVE-2017-5689, durante una ricerca all’interno del firmware Intel ME. Si scoprì subito che era possibile accedere all’ATM Web-panel, integrato nel pannello del server ATM, tramite l’utilizzo delle porte 16992 ed 16993. Per l’autenticazione sono supportati Digest e Kerberos, tranne per l’account amministratore che deve utilizzare esclusivamente Digest.
Quello che si può osservare nell’immagine è una parte della funzione, che si trova in @ 0x20431E74 nel modulo NETSTACK della versione 9.0.30.1482 del firmware Intel ME. La funzione in questione si occupa dell’analisi delle autorizzazioni inviate dal client HTTP, in attesa di conferma della validità per l’accesso al server. Il tutto avviene nei seguenti due passaggi:
Dopo aver ottenuto l’accesso al Web-panel ATM, colui che effettua l’attacco potrebbe, innanzitutto, controllare in remoto il computer. Anche se è spento (ma collegato alla rete elettrica e alla rete internet). Inoltre, Intel AMT è completamente indipendente dal sistema operativo installato sul pc. Infatti, questa tecnologia consente di eliminarlo o reinstallarlo da remoto. Ci sono diversi scenari di attacco, basati sulle seguenti caratteristiche:
- KVM (telecomando della tastiera e del monitor del mouse), è possibile utilizzare questa funzionalità per eseguire da remoto tutte le azioni comuni (con mouse e tastiera) eseguite localmente. Il che significa che si può caricare ed eseguire in remoto qualsiasi programma, leggere / scrivere qualsiasi file (utilizzando il file explorer) ecc.
- IDE-R (reindirizzamento IDE), è possibile modificare in remoto il dispositivo di avvio (boot device).
- SOL (Serial over LAN), è possibile attivare / disattivare / riavviare / reimpostare il pc da remoto ed eseguire altre operazioni. Questa funzione può essere utilizzata per accedere alla configurazione del BIOS.
Ricordiamo che ATM è una funzione non presente su Mac, ma solo su dispositivi Windows. Per questo, i computer di Apple non sono coinvolti nella falla. Per tutti gli altri dettagli del codice, vi invitiamo a visitare il PDF Ufficiale.
Quali sono le soluzioni di Intel?
Se si possiede un dispositivo in cui è presente la falla di sicurezza, è necessario aggiornare il firmware più breve tempo possibile. Intel ha già creato una patch ed è ora in attesa di essere distribuita. Alcune aziende, tra cui Dell, Lenovo, HP, e Fujitsu, hanno già rilasciato la patch per i solo dispositivi. È possibile altri dettagli sul sito ufficiale, che verrà aggiornato man mano che i produttori rilasceranno gli aggiornamenti.