Cuando alguien imagina un ataque a su computadora, piensa en algún virus instalado de forma remota que podría hacer todo tipo de cosas desagradables a nivel de software. Nunca adivinarían que la CPU en sí misma puede terminar funcionando de muchas maneras extrañas y desagradables. ¿Qué significa esto para las personas que tienen computadoras con CPU Intel y cómo podría afectarnos a todos en el futuro? Y, mucho más importante, ¿qué puedes hacer para protegerte?
¿Cómo funciona el ataque?
El objetivo no es la CPU per se, sino la infraestructura que la respalda a través del Management Engine (ME) de Intel. Los procesadores Skylake y Kaby Lake tienen un sistema exclusivo de chips conocido como «Platform Controller Hub» (PCH), que es como otro sistema que se ejecuta en las sombras de lo que ve frente a usted. Tiene su propio sistema operativo (rudimentario) llamado MINIX, su propia pequeña CPU y otros componentes de soporte que ayudan a los administradores corporativos a obtener acceso a las computadoras en sus oficinas y controlarlas en una capacidad limitada.
Aquí está el truco: MINIX en realidad no es propiedad ni tiene licencia de Intel. Simplemente lo colocan en las estructuras de soporte de sus chips sin el conocimiento de su creador. El propósito original del sistema operativo microkernel era educar a los estudiantes universitarios sobre su funcionamiento interno para que pudieran comprender mejor cómo crear su propio software de bajo nivel.
Entonces, ¿por qué Intel pasó por todos estos problemas e implementó este ME ejecutándose en paralelo con lo que sea que esté usando para ejecutar sus programas?
El PCH es particularmente útil para grandes empresas con miles de computadoras, que podrían dejar de funcionar en cualquier momento y, de lo contrario, necesitarían un administrador de sistemas para visitar cada una y resolver cada problema individualmente. Esto solo permite que un administrador realice cambios radicales cuando los sistemas ni siquiera pueden arrancar.
El problema con esto es que los que no son administradores (por ejemplo, los piratas informáticos) pueden hacer lo mismo.
Acceder a la interfaz del Grupo de acción de prueba conjunta (JTAG) para administrar el ME de Intel requiere un simple cambio de BIOS, un dongle USB y un par de pequeños trucos además de eso para obtener acceso de bajo nivel al hardware de la computadora. Una vez que ingresa, básicamente está en el Modo Dios, capaz de ejecutar código a su antojo sin alertar a una sola aplicación antimalware.
Esto podría significar un desastre para las miles y miles de empresas que utilizan productos Intel.
¿Por qué debo preocuparme por la piratería de la CPU?
Todo lo que se ejecuta en su computadora, desde su sistema operativo hasta el navegador que está usando para ver este artículo, tiene que mandar a alguien para que funcione. Ese «alguien» es la CPU. Para que una computadora funcione, necesita enviar instrucciones a ese gran chip antiguo que toma el centro de atención de cualquier otra pieza de hardware.
Una vez que obtiene el control del sistema periférico que administra el chip, tiene carta blanca para hacer lo que quiera con esa computadora, incluido robar sus datos más confidenciales (a menos que estén encriptados). La peor parte es que no hay nada que puedas hacer al respecto una vez que alguien obtiene acceso.
Cómo protegerse
Para deshacerse por completo del ME, tendrá que hacer cosas que podrían terminar dañando su computadora. Si está tratando de proteger sus dispositivos personales, simplemente no permita que ninguna persona desconocida conecte nada a sus puertos USB.
Por otro lado, si está tratando de proteger su negocio, indique a su personal de TI que este repositorio fuente que contiene la utilidad de eliminación principal proporcionada por un grupo de investigadores que encontró la vulnerabilidad en ME de Intel. También deberías señalarles estoque eliminará la mayor cantidad posible de firmware sin dañar la computadora.
Tenga en cuenta: aún se está arriesgando al usarlos y, como tal, no podemos ser responsables de ningún daño causado a sus computadoras como resultado de ejecutar este código.
Lo más cómodo de hacer, en ambas situaciones, es solo monitorear quién tiene acceso a su computadora a través de sus puertos USB. Para explotar adecuadamente esta vulnerabilidad, alguien debe tener acceso físico a su computadora. Bastante fácil, ¿verdad?
Si tiene más ideas para compartir con respecto a la protección de sus sistemas de este exploit, ¡échenos una mano en un comentario!