Un error en el CSME de Intel permite ataques imposibles de detectar: para parchearlo al completo hace falta sustituir el chip

Cristian Rus

Durante el año pasado los investigadores descubrieron unerror en el sistema de seguridad de los chips de Intelque rápidamente fue parcheado. Sin embargo, es mucho peor de lo que se pensaba, segúnuna nueva investigación. De hecho, no hay parche completo que se pueda aplicar, para evitar la vulnerabilidad directamente se debe sustituir el chip por uno de nueva generación.

Atacando al CSME en Intel

La vulnerabilidad se encuentra en todos loschips de Intel que cuentan con CSME. Pero, ¿qué es exactamente CSME? Hace referencia a ‘Intel Converged Security and Management Engine’, unsubsistema dentro de los chips de Intelque viene integrado en las últimas generaciones de sus procesadores. El CSME es una característica de seguridad que se ejecuta al inicio y es responsable de verificar y autenticar todo elfirmwareposterior.

CSME verifica por ejemplo el firmware del UEFI o el controlador de energía para gestionar la fuente de alimentación del chip. También sistemas de seguridad como la tecnología DRM o Intel Enhanced Privacy ID. En esencia, esla base de seguridad para verificar todos los procesos sensiblesque realiza el chip.

La primera vez que se supo de este error en el CSME fue con ellanzamiento de un parche en mayo de 2019. Esa actualización decía parchear un error en el firmware que permitíaejecutar código desde dentro del CSMEsi se tenía acceso físico al ordenador de la víctima. Hay que tener en cuneta que este error es distinto alcaso de Meltdown y Spectre, así como tambiénal de ZombieLoad.

Ahora, según Positive Technologies, han descubierto que la vulnerabilidad es aún peor y es posibleobtener la clave base del CSME que cifra el sistema. También indican que se puede atacar a la víctima sin tener acceso físico al ordenador y sólo accediendo con un malware a la red local del mismo. Para el ataque se aprovecha un periodo de tiempo corto en el que el CSME se deja al descubierto en la ROM de arranque.

Indican los investigadores que este errorno hay forma alguna de corregirlo al 100% mediantesoftware. Para conseguir eso habría que sustituir el chip por uno de nueva generación. Concretamentelos chips de 10ª generacióno superior ya no se ven afectados por este error. Una prueba más de que no hayhardwareosoftwareperfecto.

Vía |NeewsweekMás información |Positive Technologies