Descubierta importante vulnerabilidad en el AMT de Intel

Se ha descubierto un importante fallo de seguridad en el Active Management Technology (AMT) de Intel, que permite tomar el control de los ordenadores que utilizan dicha tecnología, mediante una escalada de privilegios.

¿Qué es AMT?

Se trata de un subsistema que reside en el firmware de muchos de sus procesadores y que permite realizar conexiones remotas sin depender del sistema operativo, con el objetivo de llevar a cabo operaciones de monitorización,reparación,o actualización.

AMT es capaz de burlar cualquier firewall o medida de protección presente en nuestro sistema, incluso –bajo ciertas condiciones– el secure boot.

La vulnerabilidad

La vulnerabilidad se puede explotar de forma local (con acceso físico a la máquina) o a través de alguien que esté conectado en nuestra misma red (en un Wi-Fi público por ej.). En este último caso se haría a través de los puertos abiertos 16992, 16993, 16994, 16995, 623,y 664 que utiliza AMT para comunicarse.

Afecta a Active Management Technology AMT y otras tecnologías de Intel como Standard Manageability (ISM) y Small Business Technology (SBT) agrupadas en la plataforma vPro, en sus versiones de firmware de 6 a 11.6 (desde Nehalem en 2008 hasta Kaby Lake en 2017).

Es un problema descubierto ahora, pero que se lleva arrastrando desde hace 10 años, aunque se desconoce si ha llegado a explotarse en algún momento. El hecho de ser código cerrado también dificulta saber el alcance exacto de la vulnerabilidad.

Aunque en Intel quieren reducir daños restringiendolo al ámbito profesional y no al de la computación personal o de ocio, es posible que si tenéis un equipo relativamente reciente venga por defecto con esa tecnología (lo acabo de comprobar en mi Lenovo ThinkPad t510, modelo que ya tiene unos años). Dependiendo del fabricante puede venir o no habilitado.

¿Y ahora qué? ¿Vamos a morir todos?

Para ver si nos atañe este problema, podemos ver en un primer momento si nuestro chip coincide con alguno de los afectados. Para saber nuestro modelo de procesador podemos ejecutar:

cat /proc/cpuinfo | grep model

A continuación tal como recomienda el experto en seguridad Matthew Garret, podemos ejecutar el comando:

lspci

Si en el resultado no encontramos ninguna referencia a “MEI” o “HECI”, implicará que estamos a salvo de dicha tecnología.

En caso positivo debemos confirmar en la configuración de la BIOS si está habilitada. Toca reiniciar el equipo, ejecutar la combinación de teclas recomendada para acceder a la BIOS y buscar dicho apartado.

En muchos casos lo vais a encontrar deshabilitado, pero eso no significa necesariamente que el Active Management Technology no esté funcionando a cierto nivel, como confirma la propia Intel en el caso de los Lenovo.

Lo ideal por tanto sería esperar a la actualización del firmware por parte de los fabricantes, a los que Intel ya ha proporcionado el parche correspondiente.

Esas actualizaciones a veces no llegan y en Linux ese tema siempre lo tenemos complicado, así que para más seguridad podemos mirar a ver si se escucha algo en los puertos afectados, con herramientas como:

netstat -putona | egrep '16992|16993|16994|16995|623|664'
nmap -p 16992,16993,16994,16995,623,664 192.168.0.1/24

En este caso todo lo que sea “closed” es bueno.

Como veis un sistema operativo fiable y unas pautas de comportamiento seguras, apenas pueden hacer nada contra estas tecnologías cerradas incrustadas en el chip. Por ello desarrollos como los de Libreboot y Coreboot son tan interesantes a la hora de reemplazar este tipo de firmware.

15 thoughts on “Descubierta importante vulnerabilidad en el AMT de Intel”

  1. no_es_mi_ip_pero_si_mi_intel_chipset says:

    Ostias!

    Tengo esa “vulnerabilidad” que todos sabemos que no es un backdoor de los amigos de Snowden (guiño guiño).

    00:16.0 Communication controller: Intel Corporation 8 Series/C220 Series Chipset Family MEI Controller
    00:1a.0 USB controller: Intel Corporation 8 Series/C220 Series Chipset Family USB EHCI

    Saludos

  2. Yoyo Fernández says:

    “netstat -putona | egrep ‘16992|16993”

    ¿Putona?

    Si empezamos con insultos a las mujeres yo no juego.

    1. tannhausser says:

      Era para ver si miráis los comandos que posteo. Sino la próxima vez me los invento 🙂

    2. Manuel says:

      Putona!!! Seguramente tannhausser estaba muy cabreado con su pc jaja

  3. Jugondelbit says:

    Nooo por qué tengo tan mala suerte! Tengo un portátil Lenovo de unos 3 años con sistema operativo Ubuntu 16.04. Con tan mala suerte que los que tenemos un Lenovo ni desactivando en la BIOS estamos seguros y ahora que hago???

    Digo yo que alguna solución pondrán… o vamos a andar a pecho descubierto en WiFi pública… a esperar a una actualización de la BIOS claro, pero seguramente solo para modelos recientes, los que tienen ya unos años que se jo#@&

    P.D: lo de -putona es mortal jajaja, uno de esos comandos que nunca se te olvida.

    1. alunado says:

      NOOO!!! no puede ser que tengas tanta mala suerte!!!

      usas ubuntu!

  4. Lionel Bino says:

    Estoy sin palabras.. ¿Que sentido tiene agregar tecnología de acceso remoto en chip? Es muy mala leche por parte de los fabricantes y todo un espaldarazo para agencia de espionaje masivo como la nsa.. Da bronca y mucho.

    1. Engel says:

      Tiene sentido cuando es necesario administrar servidores, yo utilizo AMT en mi trabajo cuando se tienen que instalar sistemas en varios raks de servidores, sin necesidad de pararse de el escritorio.

      Pero es una tontería y un desperdicio el AMT en usuarios comunes, yo la tengo y nunca la he usado.

      00:16.0 Communication controller: Intel Corporation 7 Series/C216 Chipset Family MEI Controller #1 (rev 04)

  5. mbx016 says:

    Sudo putona sal-de-mi-ordenador 😀

  6. Intel fanboy #1 AMD hater says:

    00:16.0 Communication controller: Intel Corporation 7 Series/C216 Chipset Family MEI Controller #1 (rev 04)

    Porque Intel?

  7. raul says:

    de verdad que cada dia da mas ASCO usar culquier sistema informatico, para cosas seria.
    ahora resulta que ni usando GNU/linux-libre uno esta a salvo de puertas-negras, ahora resulta que el hardware ya viene con todooo el acceso para las agencias de los goviernos.
    eso que ha dicho Stallman tantas veces se confirma contundentemente (los fabricantes instalan; puertas, ventas, y todo tipo de tuneles a nivel de hardware, o a nivel de bios)
    nooo!! de verdad que tenemos esta batalla mas perdida desgraciadamente.

  8. superlativo says:

    SI usas tecnologías y equipos antiguos porque tiene más agujeros que un gruyere, tipo teléfonos Android con Kit Kat 4.4, si son equipos a la última porque traen de fábrica todo lo que les da la gana para espiarnos. Basura de tecnología. Rebelión de los geeks!

  9. raul says:

    estamos delante de una situacion grave y con tendencia a empeorar. ya no es solo una cuestion de si te gusta o no un sistema OS, ni tan solo un problema etico de si captan datos para publicidad, o del discuros de siempre de los estados (del circo de su seguridad)
    todo esto grave, grave, no me imagino ser periodista o disidente en turquia, uffffffff (un pais que por cierto hacia tramites para entar en la union europea jajaja) un pais que bloquea todo lo que le da la gana en internet, como wikipedia (por ejemplo) laaaa wiki ya me diran que carajo tiene de malo la wikii nadaaaaaaaa mas bien lo contrarioo.
    http://www.dw.com/es/turqu%C3%ADa-bloquea-el-acceso-a-wikipedia/a-38641412
    esta claro que provedoras de internet, fabricantes de hardware, provedores de software, todoooos estan para usar la tecnologia a su favor y encontra del pueblo (almenos los pobres y los disidentes)
    y no solo es el simple software el que nos espia, esto ya lo hacen a todo los niveles
    https://www.xataka.com/privacidad/si-usas-tarjeta-sim-entonces-todas-tus-comunicaciones-han-estado-expuestas-a-espionaje
    hasta las sim card estan pinxadas ufffffff
    o la ingeneria ciber-social (es decir manipular la sociedad a nivel ciber-bots, redes sociales, mails, etc, etc) para cambiar resulatados-electorales o procesos de paz como el de colombia.
    http://minci.gob.ve/2014/08/hacker-colombiano-confirmo-espionaje-contra-proceso-de-paz/
    el caso andromeda bogota espionaje echo por civiles y militares encontra el proceso de paz
    http://www.eltiempo.com/archivo/documento/CMS-15141236
    o las manipulacion de las elecciones en mexico
    https://www.laguiadelvaron.com/bloomberg-businessweek-andres-sepulveda-elecciones-pena-nieto/
    http://aristeguinoticias.com/3103/mexico/el-pri-espio-a-jvm-y-amlo-en-el-2012-revela-hacker-colombiano-a-bloomberg/
    uffffff
    lo que esta claro es que esto no va solamente de la frikada de si uno o otro sistema operativo
    esto va de muchisiiimo mas: va de comunicaciones libres y privadas, va de libertad, va de que sociedad queremos.
    como dice stallman mejor no usar nada, si no estas seguro que cumple con la democracia y la libertad
    GNU/libre-linux libreboot y a un asi cuidadooo con todo lo que sea electronica e informatica

  10. Jaume says:

    Es posible que nmap muestre los puertos como cerrados y netstat muestre que el 16994 está conectado?

  11. VictorMoral says:

    Ojo con buscar con netstat desde la propia máquina porque lo normal es que no aparezca dado que es la propia BIOS la que emplea el interfaz de red y no el sistema. Hace poco escribí sobre mi experiencia con este mecanismo en mi blog: https://esferas.org/msqlu/2017/04/27/cuando-la-bios-va-por-su-cuenta/

Deja un comentario