Intel Management Engine ( ME ), también conocido como Intel Manageability Engine , [1] [2] es un subsistema autónomo que se ha incorporado en prácticamente todos los chipsets de procesadores de Intel desde 2008. [1] [3] [4] Está ubicado en el Hub del controlador de plataforma de las placas base Intel modernas .
El motor de administración de Intel siempre está en funcionamiento mientras la placa base recibe alimentación, incluso cuando el ordenador está apagado. Este problema se puede mitigar con la implementación de un dispositivo de hardware que pueda desconectar todas las conexiones a la red eléctrica , así como todas las formas internas de almacenamiento de energía. La Electronic Frontier Foundation y algunos investigadores de seguridad han expresado su preocupación por el hecho de que el motor de administración sea una puerta trasera .
El principal competidor de Intel, AMD , ha incorporado la tecnología AMD Secure Technology equivalente (formalmente llamada Platform Security Processor) en prácticamente todas sus CPU posteriores a 2013.
El motor de administración suele confundirse con Intel AMT (Intel Active Management Technology). AMT se ejecuta en el ME, pero solo está disponible en procesadores con vPro . AMT ofrece a los propietarios de dispositivos la administración remota de su computadora, [5] como encenderla o apagarla y reinstalar el sistema operativo.
Sin embargo, el ME en sí se ha incorporado a todos los chipsets de Intel desde 2008, no solo a aquellos con AMT. Si bien el propietario puede deshabilitar AMT, no existe una forma oficial y documentada de deshabilitar el ME.
El subsistema consiste principalmente en un firmware propietario que se ejecuta en un microprocesador independiente que realiza tareas durante el arranque, mientras el ordenador está en funcionamiento y mientras está en reposo. [6] Mientras el chipset o SoC reciba alimentación (a través de la batería o la fuente de alimentación), seguirá funcionando incluso cuando el sistema esté apagado. [7] Intel afirma que el ME es necesario para proporcionar un rendimiento completo. [8] Su funcionamiento exacto [9] está en gran parte sin documentar [10] y su código está ofuscado mediante tablas Huffman confidenciales almacenadas directamente en el hardware, por lo que el firmware no contiene la información necesaria para decodificar su contenido. [11]
A partir de ME 11 (introducido en las CPU Skylake ), se basa en la CPU de 32 bits basada en Intel Quark x86 y ejecuta el sistema operativo MINIX 3. [12] El firmware de ME se almacena en una partición de la Flash BIOS SPI , utilizando el Sistema de archivos Flash integrado (EFFS). [13] Las versiones anteriores se basaban en un núcleo ARC , con el motor de gestión ejecutando el RTOS ThreadX . Las versiones 1.x a 5.x de ME usaban ARCTangent-A4 (solo instrucciones de 32 bits), mientras que las versiones 6.x a 8.x usaban el más nuevo ARCompact ( arquitectura de conjunto de instrucciones mixta de 32 y 16 bits ). A partir de ME 7.1, el procesador ARC también podía ejecutar applets Java firmados .
El ME tiene su propia dirección MAC e IP para la interfaz de gestión fuera de banda , con acceso directo al controlador Ethernet; una parte del tráfico Ethernet se desvía al ME incluso antes de llegar al sistema operativo del host, para lo que existe soporte en varios controladores Ethernet, exportados y configurables mediante el Protocolo de Transporte de Componentes de Gestión (MCTP). [14] [15] El ME también se comunica con el host mediante la interfaz PCI. [13] Bajo Linux, la comunicación entre el host y el ME se realiza mediante /dev/mei o /dev/mei0 . [16] [17]
Hasta el lanzamiento de los procesadores Nehalem , el ME generalmente estaba integrado en el puente norte de la placa base , siguiendo el diseño del concentrador del controlador de memoria (MCH). [18] Con las arquitecturas Intel más nuevas ( Intel Serie 5 en adelante), el ME está integrado en el concentrador del controlador de plataforma (PCH). [19] [20]
Según la terminología actual de Intel a partir de 2017, ME es uno de los varios conjuntos de firmware para el motor de seguridad y administración convergente (CSME). Antes de la versión 11 de AMT, CSME se denominaba Intel Management Engine BIOS Extension (Intel MEBx). [1]
También se encontró que la versión 11 del firmware ME ejecuta MINIX 3. [ 12] [26] [27]
Se han encontrado varias debilidades en el ME. El 1 de mayo de 2017, Intel confirmó un error de elevación remota de privilegios (SA-00075) en su tecnología de administración. [36] Cada plataforma Intel con Intel Standard Manageability, Active Management Technology o Small Business Technology aprovisionada, desde Nehalem en 2008 hasta Kaby Lake en 2017 tiene un agujero de seguridad explotable de forma remota en el ME. [37] [38] Se han encontrado varias formas de deshabilitar el ME sin autorización que podrían permitir sabotear las funciones del ME. [39] [40] [12] Intel confirmó el 20 de noviembre de 2017 (SA-00086) otras fallas de seguridad importantes en el ME que afectan a una gran cantidad de computadoras que incorporan firmware ME, Trusted Execution Engine (TXE) y Server Platform Services (SPS), desde Skylake en 2015 hasta Coffee Lake en 2017. [41] [42] A diferencia de SA-00075, este error está presente incluso si AMT está ausente, no está aprovisionado o si el ME fue "deshabilitado" por alguno de los métodos no oficiales conocidos. [43] En julio de 2018, se reveló otro conjunto de vulnerabilidades (SA-00112). [44] En septiembre de 2018, se publicó otra vulnerabilidad (SA-00125). [45]
Invisible Things Lab demostró un rootkit de anillo −3 para el chipset Q35; no funciona para el chipset Q45 posterior, ya que Intel implementó protecciones adicionales. [46] El exploit funcionó reasignando la región de memoria normalmente protegida (los 16 MB superiores de RAM) reservada para el ME. El rootkit ME se podía instalar independientemente de si el AMT estaba presente o habilitado en el sistema, ya que el chipset siempre contiene el coprocesador ARC ME. (Se eligió la designación "−3" porque el coprocesador ME funciona incluso cuando el sistema está en el estado S3 . Por lo tanto, se consideró una capa por debajo de los rootkits del modo de administración del sistema . [18] ) Para el chipset Q35 vulnerable, Patrick Stewin demostró un rootkit basado en ME con registrador de pulsaciones de teclas . [47] [48]
Otra evaluación de seguridad realizada por Vassilios Ververis mostró serias debilidades en la implementación del chipset GM45. En particular, criticó a AMT por transmitir contraseñas no cifradas en el modo de aprovisionamiento SMB cuando se utilizan las funciones de redirección IDE y Serial over LAN. También descubrió que el modo de aprovisionamiento "zero touch" (ZTC) sigue estando habilitado incluso cuando AMT parece estar deshabilitado en BIOS. Por unos 60 euros, Ververis compró a GoDaddy un certificado que es aceptado por el firmware ME y permite el aprovisionamiento remoto "zero touch" de máquinas (posiblemente desprevenidas), que transmiten sus paquetes HELLO a posibles servidores de configuración. [49]
En mayo de 2017, Intel confirmó que muchas computadoras con AMT tenían una vulnerabilidad de escalada de privilegios crítica sin parchear ( CVE-2017-5689 ). [38] [50] [36] [51] [52] La vulnerabilidad fue apodada "Silent Bob is Silent" por los investigadores que la habían informado a Intel. [53] Afecta a numerosas computadoras portátiles, de escritorio y servidores vendidos por Dell , Fujitsu , Hewlett-Packard (más tarde Hewlett Packard Enterprise y HP Inc. ), Intel, Lenovo y posiblemente otros. [53] [54] [55] [56] [57] [58] [59] Esos investigadores afirmaron que el error afecta a los sistemas fabricados en 2010 o después. [60] Otros informes afirmaron que el error también afecta a los sistemas fabricados en 2008. [61] [38] La vulnerabilidad fue descrita como dando a los atacantes remotos:
"Control total de las máquinas afectadas, incluida la capacidad de leer y modificar todo. Puede utilizarse para instalar malware persistente (posiblemente en el firmware) y leer y modificar cualquier dato".
— Tatu Ylönen, ssh.com [53]
En junio de 2017, el grupo de ciberdelincuencia PLATINUM se hizo conocido por explotar las capacidades de serial over LAN (SOL) de AMT para realizar exfiltración de datos de documentos robados. [62] [63] [64] [65] [66] [67] [68] [69] SOL está deshabilitado de forma predeterminada y debe habilitarse para explotar esta vulnerabilidad. [70]
Algunos meses después de los errores anteriores y las advertencias posteriores de la EFF, [4] la empresa de seguridad Positive Technologies afirmó haber desarrollado un exploit funcional . [71] El 20 de noviembre de 2017, Intel confirmó que se habían encontrado una serie de fallas graves en el firmware de Management Engine (mainstream), Trusted Execution Engine (tableta/móvil) y Server Platform Services (servidor de alta gama), y lanzó una "actualización crítica del firmware". [72] [73] Básicamente, se descubrió que todas las computadoras basadas en Intel durante los últimos años, incluidas la mayoría de las computadoras de escritorio y servidores, eran vulnerables a tener su seguridad comprometida, aunque no se conocían por completo todas las rutas potenciales de explotación. [73] No es posible parchear los problemas desde el sistema operativo, y se requiere una actualización de firmware (UEFI, BIOS) a la placa base, lo que se anticipó que llevaría bastante tiempo para que los muchos fabricantes individuales lo lograran, si es que alguna vez lo hacían para muchos sistemas. [41]
Fuente: [72]
Ninguno de los métodos no oficiales conocidos para desactivar el ME impide la explotación de la vulnerabilidad. Es necesaria una actualización de firmware por parte del proveedor. Sin embargo, quienes descubrieron la vulnerabilidad señalan que las actualizaciones de firmware tampoco son totalmente efectivas, ya que un atacante con acceso a la región de firmware del ME puede simplemente instalar una versión antigua y vulnerable y luego explotar el error. [43]
En julio de 2018, Intel anunció que se habían descubierto tres vulnerabilidades ( CVE - 2018-3628, CVE-2018-3629, CVE-2018-3632) y que se requeriría un parche para el firmware CSME. Intel indicó que no habría parche para los procesadores Core de tercera generación o anteriores a pesar de que los chips o sus conjuntos de chips desde Intel Core 2 Duo vPro e Intel Centrino 2 vPro se vieron afectados. Sin embargo, Intel AMT debe estar habilitado y aprovisionado para que exista la vulnerabilidad. [44] [74]
Los críticos como la Electronic Frontier Foundation (EFF), los desarrolladores de Libreboot y el experto en seguridad Damien Zammit acusaron al ME de ser una puerta trasera y un problema de privacidad. [75] [4] Zammit enfatiza que el ME tiene acceso completo a la memoria (sin que los núcleos de CPU controlados por el propietario tengan conocimiento alguno), y tiene acceso completo a la pila TCP/IP y puede enviar y recibir paquetes de red independientemente del sistema operativo, eludiendo así su firewall. [5]
Intel respondió diciendo: "Intel no instala puertas traseras en sus productos, ni nuestros productos le dan a Intel control o acceso a sistemas informáticos sin el permiso explícito del usuario final" [5] y "Intel no diseña ni diseñará puertas traseras para acceder a sus productos. Los informes recientes que afirman lo contrario están mal informados y son descaradamente falsos. Intel no participa en ningún esfuerzo por reducir la seguridad de su tecnología". [76]
En el contexto de las críticas a Intel ME y AMD Secure Technology se ha señalado que la solicitud de presupuesto de la Agencia de Seguridad Nacional (NSA) para 2013 contenía un Proyecto de Habilitación de Sigint con el objetivo de "Insertar vulnerabilidades en sistemas de cifrado comerciales, sistemas de TI, ..." y se ha conjeturado que Intel ME y AMD Secure Technology podrían ser parte de ese programa. [77] [78]
Normalmente no es posible para el usuario final deshabilitar el ME y no hay un método oficialmente compatible para deshabilitarlo, pero se descubrieron algunos métodos no documentados para hacerlo. [41] La arquitectura de seguridad del ME está diseñada para evitar la deshabilitación. Intel considera que deshabilitar el ME es una vulnerabilidad de seguridad, ya que un malware podría abusar de él para hacer que la computadora pierda parte de la funcionalidad que el usuario típico espera, como la capacidad de reproducir medios con DRM , específicamente medios DRM que usan HDCP . [79] [80] Por otro lado, también es posible que actores maliciosos usen el ME para comprometer remotamente un sistema.
Estrictamente hablando, ninguno de los métodos conocidos puede desactivar el ME por completo, ya que es necesario para arrancar la CPU principal. Los métodos conocidos actualmente simplemente hacen que el ME entre en estados anormales poco después del arranque, en los que parece no tener ninguna funcionalidad funcional. El ME sigue conectado físicamente al sistema y su microprocesador continúa ejecutando código. [ cita requerida ] Algunos fabricantes como Purism y System76 desactivan el Intel Management Engine. [81] [82]
En 2016, el proyecto me_cleaner descubrió que la verificación de integridad del ME no funcionaba. Se supone que el ME debe detectar que ha sido manipulado y, si es así, apagar la PC a la fuerza 30 minutos después de iniciar el sistema. [83] Esto evita que un sistema comprometido funcione sin ser detectado, pero permite al propietario solucionar el problema instalando una versión válida del firmware del ME durante el período de gracia. Como descubrió el proyecto, al realizar cambios no autorizados en el firmware del ME, era posible forzarlo a un estado de error anormal que impedía activar el apagado incluso si se habían sobrescrito grandes partes del firmware y, por lo tanto, se habían vuelto inoperantes.
En agosto de 2017, Positive Technologies ( Dmitry Sklyarov ) publicó un método para desactivar el ME a través de un modo integrado no documentado . Como ha confirmado Intel [84], el ME contiene un interruptor para permitir que las autoridades gubernamentales como la NSA hagan que el ME entre en modo de plataforma de alta seguridad (HAP) después del arranque. Este modo desactiva la mayoría de las funciones del ME, [76] [85] y estaba destinado a estar disponible solo en máquinas producidas para compradores específicos como el gobierno de los EE. UU.; sin embargo, la mayoría de las máquinas vendidas en el mercado minorista se pueden hacer para activar el interruptor. [85] [86] La manipulación del bit HAP se incorporó rápidamente al proyecto me_cleaner. [87]
Desde finales de 2017, varios proveedores de computadoras portátiles anunciaron sus intenciones de enviar computadoras portátiles con Intel ME deshabilitado o dejar que los usuarios finales lo deshabiliten manualmente:
Ninguno de los dos métodos para desactivar el ME descubiertos hasta ahora resultó ser una contramedida eficaz contra la vulnerabilidad SA-00086. [43] Esto se debe a que la vulnerabilidad se encuentra en un módulo ME cargado de manera temprana que es esencial para iniciar la CPU principal. [ cita requerida ]
En 2017, [actualizar]Google intentó eliminar el firmware propietario de sus servidores y descubrió que el ME era un obstáculo para ello. [41]
Poco después de que se aplicara el parche SA-00086, los proveedores de placas base para procesadores AMD comenzaron a enviar actualizaciones de BIOS que permiten deshabilitar el procesador de seguridad de plataforma AMD , [99] un subsistema con una función similar al ME.
{{cite web}}
: CS1 maint: URL no apta ( enlace )Muchas plataformas basadas en chipsets Intel tienen integrado un subsistema informático pequeño y de bajo consumo llamado Intel Management Engine (Intel ME).
Intel ME realiza varias tareas mientras el sistema está en modo de suspensión, durante el proceso de arranque y cuando el sistema está en funcionamiento.
Este subsistema debe funcionar correctamente para obtener el máximo rendimiento y capacidad de su PC.
{{cite web}}
: CS1 maint: copia archivada como título ( enlace ){{cite web}}
: CS1 maint: copia archivada como título ( enlace )El motor de administración, que es un controlador ARC integrado en el concentrador de E/S (IOH), proporciona servicios de plataforma de servidor (SPS) a su sistema. Los servicios que proporciona SPS son diferentes de los que proporciona ME en las plataformas de cliente.
Intel Server Platform Services (Intel SPS): diseñado para administrar servidores montados en bastidor, Intel Server Platform Services ofrece un conjunto de herramientas para controlar y supervisar la utilización de energía, temperatura y recursos.
Este paquete proporciona los controladores para Intel Trusted Execution Engine y es compatible con la tableta Dell Venue 11 Pro 5130.
Instala el controlador y el firmware de Intel Trusted Execution Engine (Intel TXE) para Windows 10 y Windows 7*/8.1* de 64 bits. El controlador Intel TXE es necesario para el arranque seguro y las funciones de seguridad de la plataforma.
{{cite web}}
: CS1 maint: nombres numéricos: lista de autores ( enlace ){{cite web}}
: |first=
tiene nombre genérico ( ayuda )