Vulnerabilità nei firmware processori Intel Core e altri post-2015

Quasi ogni PC post-2015 con CPU Intel è potenzialmente a rischio.

Non passa giorno senza l’annuncio di una nuova vulnerabilità, un nuovo tipo di attacco informatico, un nuovo malware-ramsonware… quella di oggi non è come una qualsiasi altra news, ma in un certo senso potrebbe riguardare la maggior parte dei personal computer in possesso di ognuno di noi o che comunque usiamo ogni giorno.

Due ricercatori della Positive Technologies Research,  Mark Ermolov e Maxim Goryachy, hanno scoperto una pericolosa (e per certi versi ancora inesplorata) vulnerabilità insita nel firmware di praticamente ogni processore Intel, sia esso per desktop o computer portatile. Secondo quanto riportato e confermato dalla stessa Intel nel bollettino di sicurezza SA-00086, un aggressore remoto sarebbe in grado di lanciare dei comandi con permessi privilegiati su un host basato su processori Intel Core. In questo modo sarebbe possibile ottenere accesso a informazioni riservate o installare qualsivoglia programma malevolo fatto passare per un componente legittimo (come un finto Intel Managment Engine, per esempio) ed esponendo a questo rischio milioni di computer che si basano su questa diffusa architettura x86. Le vulnerabilità scoperte e incluse nel bollettino hanno diversi gradi di pericolosità e necessitano di un accesso fisico al sistema bersaglio, ma almeno una di queste è in grado di operare da remoto con i privilegi da amministratore.

Intel Logo
Intel Logo

Intel ha già fornito un tool, sia in versione per Microsoft Windows che per sistemi Linux, per verificare ed identificare i sistemi vulnerabili a questa famiglia di exploitI componenti affetti includono componenti della Intel Management Engine (ME, versioni firmware dall’ 11.0 all’ 11.20), l’Intel Trusted Execution Engine (TXE, versione 3.0) e gli Intel Server Platform Services (SPS, versione 4.0).

Esempio verifica con tool intel per la vulnerabilità firmware SA-00086
Esempio di controllo con la utility Intel superato.

In dettaglio le CPU incluse in questa lista di dispositivi vulnerabili includono:

  • la famiglia di processori Intel Core dalla 6° alla 8° generazione (nomi in codice: Skylake, Kaby Lake, Kaby Lake-R e Coffee Lake) che sono inclusi nella maggior parte dei desktop e portatili venduti dal 2015 in poi;
  • svariate linee di processori Intel Xeon, inclusi gli Xeon E3-1200 v5 e v6, gli Xeon della famiglia Scalable e quelli della famiglia W;
  • I processori Atom serie C3000 e serie E3900 (Apollo Lake) utilizzate per lo più in dispositivi di networking e embedded, così come per quelli destinati all’Internet of Things (IoT);
  • serie dei processori dedicati al mercato mobile a basso costo Pentium e Celeron serie N e J (Apollo Lake).
Esempio di Intel C3000 per piattaforme embedded / networking
Esempio di Intel C3000 per piattaforme embedded / networking

 

I maggiori produttori (come Dell, ASUS e così via) hanno già annunciato lo sviluppo di patch ad-hoc per risolvere il problema, per certo sarà necessario, da parte di utenti ed amministratori di sistema, l’aggiornamento dei propri sistemi non appena queste “pezze” verranno rese disponibili, possibilmente prima che dal proof-of-concept si passi a qualche attacco diffuso in rete e che possa quindi rappresentare un rischio non più teorico, ma decisamente reale e potenzialmente in grado di arrecare danni ingenti specie a piccole e medie imprese.

Fonte: Ars Technica e Intel .