Una función oculta en los procesadores Intel permite robar información

Los procesadores de Intel son un coladero de vulnerabilidades. Además de tener un precio elevado actualmente y estar siendo superados en rendimiento multinúcleo por AMD, cada poco tiempo se descubren nuevas vulnerabilidades, como la reciente SPOILER. Ahora, no solo se ha descubierto una nueva vulnerabilidad en estos chips, sino que ésta está presente en una parte del chipset y del procesador que no se conocía hasta ahora.

VISA: Intel cuenta con una nueva parte vulnerable en sus chipsets y procesadores

Así lo han revelado los investigadores Maxim Goryachiy y Mark Yermolov de Positive Technologies en la conferencia Black Hat celebrada en Singapur. Estos investigadores son ya conocidos por haber descubierto en el último año una vulnerabilidad en MacBooks, donde Apple se había dejado en miles de portátiles los procesadores en “modo fábrica”.

En el estudio que han publicado muestran una tecnología de los procesadores Intel llamada VISA (Visualization of Internal Signals Architecture) que no era conocida por el público. Esta función está presente en los chipsets de Intel, pero también hay una función similar dentro de los procesadores. VISA lo que hace, básicamente, es detectar fallos en los procesadores y en otros chips para protegerlos ante ataques.

Así, VISA se dedica interceptar las señales electrónicas que se envían desde los buses internos y de los periféricos al PCH (Platform Controller Hub), y que posteriormente se mandan al procesador. Además, también pueden acceder al IME (Intel Management Engine), que está en el PCH desde Skylake y generaciones posteriores.

Un atacante puede aprovecharla incluso si tienes actualizado el firmware

Y esta función es vulnerable, y los investigadores han conseguido acceso no autorizado a ella, lo que les permite interceptar datos de la memoria y del procesador del ordenador, y crear un spyware que pueda funcionar al nivel más bajo posible y cercano al hardware sin que ningún parche del sistema operativo o antiviruspueda hacer nada por evitarlo.

Para activar VISA, los investigadores encontraron varias maneras, estando una de ellas descritas (Intel-SA-00086) en la propia página de Intel para tomar el control del IME y pasar a activar la función desde ahí. Este parche es de verano de 2018, y si tu ordenador no lo tiene, estás expuesto a esta vulnerabilidad. Si lo tiene, estás protegido ante este vector de ataque, que es el más sencillo de aplicar. Sin embargo, incluso aunque tengas instalado el parche a través de una actualización de firmware, es posible hacer downgrade a versiones anteriores y vulnerables por parte de los atacantes. Además, los investigadores encontraron otros tres vectores para activar la función, los cuales no han publicado todavía.

Por “suerte”, si un atacante consigue aprovechar la vulnerabilidad Intel-SA-00086para hacer downgrade a una versión del firmware vulnerable, lo más probable es que ataquen directamente el IME por permitir un mayor control del procesador.

Fuente: Positive Technologies | adslzone