La tecnología Intel Active Management ( AMT ) es hardware y firmware para la administración remota fuera de banda de computadoras comerciales seleccionadas, [1] [2] que se ejecuta en Intel Management Engine , un subsistema de microprocesador no expuesto al usuario, destinado a monitoreo, mantenimiento, actualización y reparación de sistemas. [1] La administración fuera de banda (OOB) o basada en hardware es diferente de la administración basada en software (o dentro de banda ) y los agentes de administración de software. [1]
La administración basada en hardware funciona a un nivel diferente de las aplicaciones de software y utiliza un canal de comunicación (a través de la pila TCP/IP ) que es diferente de la comunicación basada en software (que se realiza a través de la pila de software en el sistema operativo). La administración basada en hardware no depende de la presencia de un sistema operativo o un agente de administración instalado localmente. La administración basada en hardware ha estado disponible en computadoras basadas en Intel/AMD en el pasado, pero se ha limitado en gran medida a la configuración automática usando DHCP o BOOTP para la asignación dinámica de direcciones IP y estaciones de trabajo sin disco , así como Wake-on-LAN (WOL). ) para encender sistemas de forma remota. [3] AMT no está diseñado para ser utilizado por sí solo; está diseñado para usarse junto con una aplicación de administración de software. [1] Le da a una aplicación de administración (y, por lo tanto, al administrador del sistema que la usa) acceso a la PC a través del cable, para realizar de forma remota tareas que son difíciles o a veces imposibles cuando se trabaja en una PC que no tiene funcionalidades remotas. construido en él. [1] [4] [5]
AMT está diseñado en un procesador de servicio ubicado en la placa base y utiliza comunicación segura TLS y cifrado sólido para brindar seguridad adicional. [6] AMT está integrado en las PC con tecnología Intel vPro y se basa en Intel Management Engine (ME). [6] AMT ha avanzado hacia un mayor soporte para los estándares DMTF de arquitectura móvil y de escritorio para hardware del sistema (DASH) y AMT versión 5.1 y versiones posteriores son una implementación de los estándares DASH versión 1.0/1.1 para la administración fuera de banda. [7] AMT proporciona una funcionalidad similar a IPMI , aunque AMT está diseñado para sistemas informáticos de clientes en comparación con el IPMI típicamente basado en servidor.
Actualmente, AMT está disponible en computadoras de escritorio, servidores, ultrabooks, tabletas y computadoras portátiles con la familia de procesadores Intel Core vPro , incluida la familia de productos Intel Core i5, Core i7, Core i9 e Intel Xeon E3-1000, Xeon E, Xeon W-1000. [1] [8] [9] AMT también requiere una tarjeta de red Intel y la versión corporativa del binario Intel Management Engine. [10]
Intel confirmó un error de elevación remota de privilegios ( CVE - 2017-5689, SA-00075) en su tecnología de administración el 1 de mayo de 2017. [11] Todas las plataformas Intel con capacidad de administración estándar Intel, tecnología de administración activa o tecnología para pequeñas empresas, desde Nehalem en 2008 hasta Kaby Lake en 2017 tiene un agujero de seguridad explotable de forma remota en ME. [12] [13] Algunos fabricantes, como Purism [14] y System76 [15] ya venden hardware con Intel Management Engine desactivado para evitar el exploit remoto. Intel confirmó el 20 de noviembre de 2017 fallas de seguridad importantes adicionales en ME que afectan a una gran cantidad de computadoras que incorporan firmware Management Engine, Trusted Execution Engine y Server Platform Services , desde Skylake en 2015 hasta Coffee Lake en 2017 (SA- 00086).
Aunque iAMT puede incluirse de forma gratuita en dispositivos vendidos al público y a pequeñas empresas, las capacidades completas de iAMT, incluido el acceso remoto cifrado a través de un certificado de clave pública y el aprovisionamiento remoto automático de dispositivos de clientes iAMT no configurados, no son accesibles de forma gratuita para los consumidores. público en general o a los propietarios directos de dispositivos equipados con iAMT. iAMT no se puede utilizar completamente en su máximo potencial sin comprar software o servicios de administración adicionales de Intel u otro proveedor de software independiente ( ISV ) o revendedor de valor agregado (VAR).
La propia Intel proporciona un paquete de software de kit de herramientas para desarrolladores que permite un acceso básico a iAMT, pero no está diseñado para usarse normalmente para acceder a la tecnología. [16] Solo se admiten modos básicos de acceso, sin acceso completo a las comunicaciones cifradas del sistema de gestión adquirido completo. [17]
Intel AMT incluye funciones de configuración remota, seguridad, administración de energía y administración remota basadas en hardware que permiten el acceso remoto independiente a las PC habilitadas para AMT. [5] Intel AMT es una tecnología de seguridad y administración integrada en las PC con tecnología Intel vPro . [1]
Intel AMT utiliza un canal de comunicación fuera de banda (OOB) basado en hardware [1] que funciona independientemente de la presencia de un sistema operativo en funcionamiento. El canal de comunicación es independiente del estado de energía de la PC, de la presencia de un agente de administración y del estado de muchos componentes de hardware, como las unidades de disco duro y la memoria .
La mayoría de las funciones de AMT están disponibles OOB, independientemente del estado de energía de la PC. [1] Otras funciones requieren que la PC esté encendida (como la redirección de la consola a través de serie a través de LAN (SOL), la verificación de presencia del agente y el filtrado del tráfico de red). [1] Intel AMT tiene capacidad de encendido remoto.
Las funciones basadas en hardware se pueden combinar con secuencias de comandos para automatizar el mantenimiento y el servicio. [1]
Las funciones de AMT basadas en hardware en computadoras portátiles y de escritorio incluyen:
Los portátiles con AMT también incluyen tecnologías inalámbricas:
Las actualizaciones de software brindan actualizaciones a la próxima versión menor de Intel AMT. Las nuevas versiones importantes de Intel AMT están integradas en un nuevo chipset y se actualizan mediante nuevo hardware. [6]
Casi todas las funciones de AMT están disponibles incluso si la PC está apagada pero con el cable de alimentación conectado, si el sistema operativo falló, si falta el agente de software o si el hardware (como un disco duro o una memoria) falla. ha fallado. [1] [6] La función de redirección de consola ( SOL ), la verificación de presencia del agente y los filtros de tráfico de red están disponibles después de encender la PC. [dieciséis ]
Intel AMT admite estas tareas de administración:
Desde la versión principal 6, Intel AMT incorpora un servidor VNC propietario , para acceso fuera de banda utilizando tecnología de visualización dedicada compatible con VNC, y tiene capacidad KVM (teclado, video, mouse) completa durante todo el ciclo de encendido, incluido el control ininterrumpido del escritorio cuando se carga un sistema operativo. Los clientes como VNC Viewer Plus de RealVNC también brindan funciones adicionales que pueden facilitar la realización (y observación) de ciertas operaciones de Intel AMT, como encender y apagar la computadora, configurar el BIOS y montar una imagen remota (IDER).
AMT admite aprovisionamiento remoto basado en certificado o PSK (implementación remota completa), aprovisionamiento basado en llave USB (aprovisionamiento "de un solo toque"), aprovisionamiento manual [1] y aprovisionamiento usando un agente en el host local ("aprovisionamiento basado en host"). "). Un OEM también puede preaprovisionar AMT. [19]
La versión actual de AMT admite la implementación remota tanto en computadoras portátiles como de escritorio. (La implementación remota era una de las características clave que faltaban en versiones anteriores de AMT y que retrasó la aceptación de AMT en el mercado). [5] La implementación remota, hasta hace poco, solo era posible dentro de una red corporativa. [22] La implementación remota permite a un administrador de sistemas implementar PC sin "tocar" los sistemas físicamente. [1] También permite que un administrador de sistemas retrase las implementaciones y ponga las PC en uso durante un período de tiempo antes de que las funciones de AMT estén disponibles para la consola de TI. [23] A medida que evolucionan los modelos de entrega e implementación, AMT ahora se puede implementar a través de Internet, utilizando métodos "Zero-Touch" y basados en host. [24]
Las PC se pueden vender con AMT habilitado o deshabilitado. El OEM determina si enviar AMT con las capacidades listas para su configuración (habilitadas) o deshabilitadas. El proceso de instalación y configuración puede variar según la versión OEM. [19]
AMT incluye una aplicación de ícono de privacidad, llamada IMSS, [25] que notifica al usuario del sistema si AMT está habilitado. Depende del OEM decidir si desea mostrar el icono o no.
AMT admite diferentes métodos para deshabilitar la tecnología de administración y seguridad, así como también diferentes métodos para volver a habilitar la tecnología. [1] [23] [26] [27]
AMT se puede desaprovisionar parcialmente mediante los ajustes de configuración o completamente borrando todos los ajustes de configuración, las credenciales de seguridad y los ajustes operativos y de red. [28] Un desaprovisionamiento parcial deja el PC en estado de configuración. En este estado, la PC puede iniciar automáticamente su proceso de configuración remota y automatizada. Un desaprovisionamiento completo borra el perfil de configuración, así como las credenciales de seguridad y las configuraciones operativas/de red necesarias para comunicarse con Intel Management Engine. Un desaprovisionamiento completo devuelve Intel AMT a su estado predeterminado de fábrica.
Una vez que AMT está deshabilitado, para habilitar AMT nuevamente, un administrador de sistemas autorizado puede restablecer las credenciales de seguridad requeridas para realizar la configuración remota mediante:
Hay una manera de restablecer totalmente AMT y volver a los valores predeterminados de fábrica. Esto se puede hacer de dos formas:
La instalación y la integración de AMT están respaldadas por un servicio de instalación y configuración (para instalación automatizada), una herramienta de servidor web AMT (incluida con Intel AMT) y AMT Commander, una aplicación propietaria gratuita y sin soporte disponible en el sitio web de Intel.
Todo el acceso a las funciones de Intel AMT se realiza a través de Intel Management Engine en el hardware y firmware de la PC. [1] La comunicación AMT depende del estado del Management Engine, no del estado del sistema operativo de la PC.
Como parte de Intel Management Engine, el canal de comunicación AMT OOB se basa en la pila de firmware TCP/IP diseñada en el hardware del sistema. [1] Debido a que se basa en la pila TCP/IP, la comunicación remota con AMT se produce a través de la ruta de datos de la red antes de que la comunicación pase al sistema operativo.
Intel AMT admite redes cableadas e inalámbricas . [1] [8] [20] [29] Para portátiles inalámbricos con batería, la comunicación OOB está disponible cuando el sistema está activo y conectado a la red corporativa, incluso si el sistema operativo no funciona. La comunicación OOB también está disponible para portátiles inalámbricos o por cable conectados a la red corporativa a través de una red privada virtual (VPN) basada en sistema operativo host cuando los portátiles están activos y funcionando correctamente.
AMT versión 4.0 y superior puede establecer un túnel de comunicación seguro entre una PC cableada y una consola de TI fuera del firewall corporativo. [1] [30] En este esquema, un servidor de presencia de administración (Intel lo llama "puerta de enlace habilitada para vPro") autentica la PC, abre un túnel TLS seguro entre la consola de TI y la PC, y media en la comunicación. [1] [31] El plan está destinado a ayudar al usuario o a la propia PC a solicitar mantenimiento o servicio cuando se encuentre en oficinas satélite o lugares similares donde no haya un servidor proxy o dispositivo de administración en el sitio.
La tecnología que protege las comunicaciones fuera de un firewall corporativo es relativamente nueva. También requiere que exista una infraestructura , incluido el soporte de consolas de TI y firewalls.
Una PC AMT almacena información de configuración del sistema en una memoria protegida. Para PC versión 4.0 y superior, esta información puede incluir los nombres de los servidores de administración de " lista blanca " apropiados para la empresa. Cuando un usuario intenta iniciar una sesión remota entre la PC cableada y un servidor de la empresa desde una LAN abierta , AMT envía la información almacenada a un servidor de presencia de administración (MPS) en la "zona desmilitarizada" ("DMZ") que existe entre las firewall corporativo y firewalls del cliente (la PC del usuario). El MPS utiliza esa información para ayudar a autenticar la PC. Luego, el MPS media en la comunicación entre la computadora portátil y los servidores de administración de la empresa. [1]
Como la comunicación se autentica, se puede abrir un túnel de comunicación seguro mediante cifrado TLS . Una vez que se establecen comunicaciones seguras entre la consola de TI e Intel AMT en la PC del usuario, un administrador del sistema puede usar las funciones típicas de AMT para diagnosticar, reparar, mantener o actualizar la PC de forma remota. [1]
El Management Engine (ME) es un coprocesador aislado y protegido, integrado como una parte no opcional [32][actualizar] en todos los conjuntos de chips Intel actuales (a partir de 2015 ). [33]
A partir de ME 11, se basa en la CPU de 32 bits basada en Intel Quark x86 y ejecuta el sistema operativo MINIX 3 . El estado ME se almacena en una partición del flash SPI , utilizando el sistema de archivos Flash integrado (EFFS). [34] Las versiones anteriores se basaban en un núcleo ARC , con el motor de gestión ejecutando ThreadX RTOS de Express Logic . Las versiones 1.x a 5.x de ME usaron ARCTangent-A4 (solo instrucciones de 32 bits), mientras que las versiones 6.x a 8.x usaron el ARCompact más nuevo ( arquitectura de conjunto de instrucciones mixtas de 32 y 16 bits ). A partir de ME 7.1, el procesador ARC también podría ejecutar subprogramas Java firmados .
El ME comparte la misma interfaz de red e IP que el sistema host. El tráfico se enruta en función de los paquetes a los puertos 16992–16995. Existe soporte en varios controladores Intel Ethernet, exportados y configurables a través del Protocolo de transporte de componentes de administración (MCTP). [35] [36] El ME también se comunica con el host a través de la interfaz PCI. [34] En Linux, la comunicación entre el host y el ME se realiza a través de /dev/mei
[33] o más recientemente [37] /dev/mei0
. [38]
Hasta el lanzamiento de los procesadores Nehalem , el ME generalmente estaba integrado en el puente norte de la placa base , siguiendo el diseño del Memory Controller Hub (MCH). [39] Con las arquitecturas Intel más nuevas ( Intel Serie 5 en adelante), ME se incluye en el Platform Controller Hub (PCH). [40] [41]
Debido a que AMT permite el acceso a la PC por debajo del nivel del sistema operativo, la seguridad de las funciones de AMT es una preocupación clave.
La seguridad de las comunicaciones entre Intel AMT y el servicio de aprovisionamiento y/o la consola de administración se puede establecer de diferentes maneras según el entorno de red. La seguridad se puede establecer mediante certificados y claves (infraestructura de clave pública TLS o TLS-PKI), claves precompartidas ( TLS-PSK ) o contraseña de administrador. [dieciséis ]
Las tecnologías de seguridad que protegen el acceso a las funciones de AMT están integradas en el hardware y el firmware. Al igual que con otras funciones de AMT basadas en hardware, las tecnologías de seguridad están activas incluso si la PC está apagada, el sistema operativo falla, faltan agentes de software o el hardware (como un disco duro o una memoria) falla. [1] [6] [42]
Debido a que el software que implementa AMT existe fuera del sistema operativo, el mecanismo de actualización normal del sistema operativo no lo mantiene actualizado. Por lo tanto, los defectos de seguridad en el software AMT pueden ser particularmente graves, ya que permanecerán mucho tiempo después de haber sido descubiertos y conocidos por posibles atacantes.
El 15 de mayo de 2017, Intel anunció una vulnerabilidad crítica en AMT. Según la actualización, "la vulnerabilidad podría permitir a un atacante de red obtener acceso remoto a PC o dispositivos empresariales que utilicen estas tecnologías". [43] Intel anunció la disponibilidad parcial de una actualización de firmware para parchear la vulnerabilidad de algunos de los dispositivos afectados.
Si bien algunos protocolos para la administración remota dentro de banda utilizan un canal de comunicación de red seguro (por ejemplo, Secure Shell ), otros protocolos no son seguros. Por lo tanto, algunas empresas han tenido que elegir entre tener una red segura o permitir que TI utilice aplicaciones de administración remota sin comunicaciones seguras para mantener y dar servicio a las PC. [1]
Las tecnologías de seguridad y los diseños de hardware modernos permiten la gestión remota incluso en entornos más seguros. Por ejemplo, Intel AMT admite IEEE 802.1x , entorno de ejecución previa al arranque (PXE), Cisco SDN y Microsoft NAP . [1]
Todas las funciones de AMT están disponibles en un entorno de red seguro. Con Intel AMT en el entorno de red seguro:
Intel AMT puede integrar credenciales de seguridad de red en el hardware, a través de Intel AMT Embedded Trust Agent y un complemento de postura AMT . [1] [6] El complemento recopila información sobre la situación de seguridad, como la configuración del firmware y los parámetros de seguridad de software de terceros (como software antivirus y antispyware ), BIOS y memoria protegida . El complemento y el agente de confianza pueden almacenar los perfiles de seguridad en la memoria no volátil protegida de AMT, que no está en la unidad de disco duro .
Debido a que AMT tiene un canal de comunicación fuera de banda, AMT puede presentar la postura de seguridad de la PC a la red incluso si el sistema operativo o el software de seguridad de la PC están comprometidos. Dado que AMT presenta la postura fuera de banda, la red también puede autenticar la PC fuera de banda, antes de que se carguen el sistema operativo o las aplicaciones y antes de que intenten acceder a la red. Si la postura de seguridad no es correcta, un administrador del sistema puede enviar una actualización OOB (a través de Intel AMT) o reinstalar el software de seguridad crítico antes de permitir que la PC acceda a la red.
La compatibilidad con diferentes posturas de seguridad depende de la versión de AMT :
AMT incluye varios esquemas, tecnologías y metodologías de seguridad para proteger el acceso a las funciones de AMT durante la implementación y la administración remota. [1] [6] [42] Las tecnologías y metodologías de seguridad de AMT incluyen:
Al igual que con otros aspectos de Intel AMT, las tecnologías y metodologías de seguridad están integradas en el chipset.
Invisible Things Lab demostró un rootkit de anillo -3 para el chipset Q35; no funciona para el chipset Q45 posterior, ya que Intel implementó protecciones adicionales. [46] El exploit funcionó reasignando la región de memoria normalmente protegida (16 MB superiores de RAM) reservada para el ME. El rootkit ME se puede instalar independientemente de si el AMT está presente o habilitado en el sistema, ya que el chipset siempre contiene el coprocesador ARC ME. (Se eligió la designación "-3" porque el coprocesador ME funciona incluso cuando el sistema está en el estado S3 , por lo que se consideró una capa debajo de los rootkits del modo de administración del sistema . [39] ) Para el chipset Q35 vulnerable, un registrador de pulsaciones de teclas Patrick Stewin demostró el rootkit basado en ME. [47] [48]
Otra evaluación de seguridad realizada por Vassilios Ververis mostró graves debilidades en la implementación del chipset GM45. En particular, criticó a AMT por transmitir contraseñas no cifradas en el modo de aprovisionamiento SMB cuando se utilizan las funciones de redirección IDE y Serial over LAN. También descubrió que el modo de aprovisionamiento "zero touch" (ZTC) todavía está habilitado incluso cuando el AMT parece estar deshabilitado en el BIOS. Por unos 60 euros, Ververis compró a Go Daddy un certificado que es aceptado por el firmware ME y permite el aprovisionamiento remoto "sin contacto" de máquinas (posiblemente desprevenidas), que transmiten sus paquetes HELLO a posibles servidores de configuración. [49]
En mayo de 2017, Intel confirmó que muchas computadoras con AMT tenían una vulnerabilidad crítica de escalada de privilegios sin parchear ( CVE - 2017-5689). [13] [50] [11] [51] [52] La vulnerabilidad, apodada " Silent Bob is Silent" por los investigadores que la habían informado a Intel, [53] afecta a numerosos ordenadores portátiles, de sobremesa y servidores vendidos por Dell . , Fujitsu , Hewlett-Packard (más tarde Hewlett Packard Enterprise y HP Inc. ), Intel, Lenovo y posiblemente otros. [53] [54] [55] [56] [57] [58] [59] Esos investigadores afirmaron que el error afecta a los sistemas fabricados en 2010 o después. [60] Otros informes afirmaron que el error también afecta a sistemas creados ya en 2008. [61] [13] Se describió que la vulnerabilidad proporcionaba a los atacantes remotos:
control total de las máquinas afectadas, incluida la capacidad de leer y modificar todo. Se puede utilizar para instalar malware persistente (posiblemente en firmware) y leer y modificar cualquier dato.
— Tatu Ylönen, ssh.com [53]
El proceso de autorización de usuario remoto incluyó un error del programador: comparó el hash del token de autorización otorgado por el usuario ( user_response
) con el valor verdadero del hash ( computed_response
) usando este código:
strncmp(respuesta_calculada, respuesta_usuario, longitud_respuesta)
La vulnerabilidad era que response_length
era la longitud del token proporcionado por el usuario y no del token verdadero.
Dado que el tercer argumento para strncmp
es la longitud de las dos cadenas que se van a comparar, si es menor que la longitud de computed_response
, solo se probará la igualdad de una parte de la cadena. Específicamente, si user_response
es la cadena vacía (con longitud 0), esta "comparación" siempre devolverá verdadero y, por lo tanto, validará al usuario. Esto permitió a cualquier persona simplemente iniciar sesión en la admin
cuenta en los dispositivos editando el paquete HTTP enviado para usar la cadena vacía como response
valor del campo.
En junio de 2017, el grupo de cibercrimen PLATINUM se destacó por explotar las capacidades de serie sobre LAN (SOL) de AMT para realizar la filtración de datos de documentos robados. [62] [63] [64] [ 65] [66] [67] [68] [69]
En noviembre de 2017, la empresa de seguridad Positive Technologies detectó graves fallos en el firmware del Management Engine (ME), y afirmó haber desarrollado un exploit funcional de este sistema para alguien que tuviera acceso físico a un puerto USB. [70] El 20 de noviembre de 2017, Intel confirmó que se habían encontrado una serie de fallas graves en Management Engine, Trusted Execution Engine y Server Platform Services y lanzó una "actualización de firmware crítica". [71] [72]
Las PC con AMT generalmente brindan una opción en el menú del BIOS para desactivar AMT, aunque los OEM implementan las funciones del BIOS de manera diferente [73] y, por lo tanto, el BIOS no es un método confiable para desactivar AMT. Se supone que las PC basadas en Intel que se enviaron sin AMT no podrán tener AMT instalado más adelante. Sin embargo, mientras el hardware de la PC sea potencialmente capaz de ejecutar AMT, no está claro qué tan efectivas son estas protecciones. [74] [75] [76] Actualmente, existen guías de mitigación [77] y herramientas [78] para deshabilitar AMT en Windows, pero Linux solo ha recibido una herramienta para verificar si AMT está habilitado y aprovisionado en sistemas Linux. [79] La única forma de solucionar esta vulnerabilidad es instalar una actualización de firmware. Intel ha puesto a disposición una lista de actualizaciones. [80] A diferencia de AMT, generalmente no existe una forma oficial y documentada de desactivar el motor de gestión (ME); siempre está encendido, a menos que el OEM no lo habilite en absoluto. [81] [82]
En 2015, un pequeño número de proveedores competidores comenzaron a ofrecer PC basadas en Intel diseñadas o modificadas específicamente para abordar posibles vulnerabilidades de AMT y preocupaciones relacionadas. [83] [84] [85] [86] [10] [87] [88]
{{cite web}}
: Mantenimiento CS1: copia archivada como título ( enlace ){{cite web}}
: Mantenimiento CS1: copia archivada como título ( enlace ){{cite web}}
: Mantenimiento CS1: copia archivada como título ( enlace ){{cite web}}
: Mantenimiento CS1: copia archivada como título ( enlace )