Herramienta para detectar el backdoor en Intel Manegement Engine (IME)

Los procesadores Intel incorporan el Intel Management Engine, un subsistema que reside en el hardware de sus procesadores (desde 2008) y que permite realizar conexiones remotas, independientemente del sistema operativo utilizado. Hace unos meses se descubrió que además podía ser explotado por terceros, mediante una escalada de privilegios. Una vulnerabilidad que se saltaba cualquier protección de arranque, y permitía acceder directamente a la BIOS, arrancar o apagar el sistema, etc. Tu portátil con procesador Intel con un rootkit incorporado de fábrica. Intel ha publicado una herramienta para Windows y GNU/Linux para saber si tu procesador está afectado.

Intel Management Engine (IME) es un coprocesador integrado en todos los procesadores de Intel fabricados después de 2006. Este coprocesador tiene acceso completo a la red y a la memoria y ejecuta código cerrado y propietario independientemente de la BIOS, el procesador principal y el sistema operativo, un hecho que es un riesgo de seguridad inaceptable. En esta guía se detalla cómo desactivar IME usando varias herramientas que operan en el firmware del PC almacenado en el chip de la BIOS.

El firmware super secreto de Intel, Management Engine, accedido a través de USB

A raíz de la publicación de una vulnerabilidad basada en el bypass de la clave del Intel Active Management Technology 1-Mayo-2017 (CVE-2017-5689) saltaron las alarmas y desde la FSF avisaban de la gran amenaza para la seguridad y demandaban una forma de desactivar dicho controlador.

En el tema de la seguridad informática hace tiempo que mi mayor preocupación, es algo que tampoco podemos controlar: la inclusión de código en el firmware de nuestro hardware, que pueda actuar con un backdoor y no pueda ser auditado.

Para mitigar esa amenaza puntual, Intel liberó algunos parches, pero quedó lejos de proporcionar una solución general, para deshabilitar o eliminar esa función a voluntad. Algunos desarrolladores mediante ingeniería inversa han conseguido desvelar algunos de sus secretos, pero las soluciones propuestas quedan lejos del usuario común y corriente.

La desactivación de Intel ME –así como su verificación de que realmente se había llevado a cabo– no ha sido sencilla. Factores determinantes en la misma han sido el uso que Purism hace de su propio firmware de BIOS, donde una versión actualizada de Coreboot se encarga de realizar dicho trabajo.

Un usuario de la increíble comunidad de Gentoo ha publicado una guía detallada del proceso de eliminación del 1ntel Me, usando las herramientas MEAnalyzer & me_cleaner: Wiki_Gentoo_Disabling_Intel_ME. Más informaci´n de la mano de la compañia de ordenadores puri.sm Y otra guia más en inglés…

Herramienta de Intel para detección de Intel-SA-00086

Destaca la posibilidad de poder hacerse con el control de cualquier ordenador Intel mediante el uso de un puerto USB. No hace falta contraseñas. No hace falta acceder al sistema operativo.

Sólo se requiere acceso físico al ordenador para poderlo encender e insertar un dispositivo USB.
 El atacante instala una modificación del software de bajo nivel para luego poder acceder remotamente al ordenador sin que ningún software de protección instalado en dicho ordenador pueda hacer nada.

Se considera un fallo de seguridad en el hardware.


Estos fallos de seguridad afectan a todos los ordenadores con un Intel Management Engine versión 11.0 o posterior. Con SPS versión 4.0 o TXE versión 3.0.

Estos softwares sólo se pueden actualizar mediante BIOS/UEFI. Si tu ordenador está afectado el fabricante del mismo ha de poner a disposición de los clientes la actualización pertinente.
Productos afectados:

• Familia de procesadores de 6ª, 7ª y 8ª Generación Intel® Core™.
• Familia de productos Intel® Xeon® E3-1200 v5 y v6.
• Familia de productos Intel® Xeon® Processor Scalable.
• Familia de procesadores Intel® Xeon® Processor W Family.
• Familia de procesadores Intel® Atom® C3000.
• Familia de productos Apollo Lake Intel® Atom Processor E390.
• Familia de productos Apollo Lake Intel® Pentium™.
• Procesadores serie Celeron™ N y J.

Intel ha puesto a disposición de los usuarios una utilidad que permite detectar la versión del software que utiliza el ordenador. Se puede descargar aquí. Incluye instrucciones de uso, aunque eso sí, en inglés.

Herramienta Intel: Descargas disponibles

• Linux*

Lenguaje: Inglés
Tamaño: 0,82 MB
MD5: ac46e14efef4939359a76cd4fe1ce877

• Windows® 10*,Windows* 8.1, Windows 7*

Lenguaje: Inglés
Tamaño: 11,59 MB
MD5: a1e99eb2029051627e831c133898d7a6

Algunos fabricantes ya han sacado listados de modelos portátiles afectados por la vulnerabilidad.

Listado Portátiles DELL afectados

• http://www.dell.com/support/article/us/en/19/sln308237/dell-client-statement-on-intel-me-txe-advisory--intel-sa-00086-?lang=en 

  Listado Portátiles Lenovo afectados

• https://support.lenovo.com/es/es/product_security/len-17297