Actualización crítica de firmware del motor de gestión Intel® (Intel-SA-00086)

Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) y® vulnerabilidad Intel Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

En respuesta a los problemas identificados por investigadores externos, Intel ha realizado una revisión exhaustiva de seguridad de los siguientes temas con el objetivo de mejorar la resiliencia del firmware:

• Motor de gestión Intel® (Intel® ME)
• Motor de Ejecución Confiable de Intel® (Intel® TXE)
• Servicios de Plataforma de Servidor Intel® (SPS)

Intel ha identificado vulnerabilidades de seguridad que podrían afectar a ciertos PCs, servidores y plataformas IoT.

Los sistemas que usan el firmware Intel ME versiones 6.x-11.x, los servidores que usan la versión 4.0 del firmware SPS y los sistemas que usan la versión 3.0 de TXE se ven afectados. Puedes encontrar estas versiones de firmware en ciertos procesadores a través de:

• Familias de procesadores Intel® Core™ de primera generación, 2ª, 3ª, 4ª, 5ª, 6ª, 7ª y 8ª generación
• ® Familia de productos Intel Xeon® Processor E3-1200 v5 y v6
• Familia escalable de procesadores Intel® Xeon®
• Procesador Intel® Xeon® W
• Familia de procesadores Intel Atom® C3000
• Procesador atómico® Intel Apollo Lake serie E3900
• Procesadores Intel® Pentium® Apollo Lake
• Procesador Intel® Pentium® Serie G
• Procesadores Intel® Celeron® de las series G, N y J

Para determinar si las vulnerabilidades identificadas afectan a tu sistema, descarga y ejecuta la herramienta Intel CSME Version Detection usando los enlaces a continuación.

Sección de Preguntas Frecuentes

Recursos disponibles

• Aviso oficial de seguridad de Intel: Detalles técnicos sobre la vulnerabilidad

Recursos para usuarios de Microsoft y Linux*

• Herramienta de detección de versiones Intel CSME

Recursos de fabricantes de sistemas/placas base

• ASRock: Información de soporte
• ASUS: Información de soporte
• Compulab: Información de soporte
• Cliente de Dell: Información de soporte
• Fujitsu: Información de soporte
• GIGABYTE: Información de soporte
• Servidores HPE: Información de soporte
• Intel® NUC e® Intel Compute Stick: Información de soporte
• Servidores de Intel®: Información de soporte
• Lenovo: Información de soporte
• Oracle: Información de soporte
• Quanta/QCT: Información de soporte
• Siemens: Información de soporte
• Supermicro: Información de soporte
• Vaio: Información de soporte

Preguntas frecuentes:

P: La herramienta de detección de versiones de Intel CSME informa que mi sistema es vulnerable. ¿Qué hago?
R: Intel ha proporcionado a los fabricantes de sistemas y placas base las actualizaciones de firmware y software necesarias para resolver las vulnerabilidades identificadas en el Aviso de Seguridad Intel-SA-00086.

Contacta con el fabricante de tu sistema o placa base para conocer sus planes de poner las actualizaciones a disposición de los usuarios finales.

Algunos fabricantes han proporcionado a Intel un enlace directo para que sus clientes obtengan información adicional y actualizaciones de software disponibles (consulte la lista a continuación).

P: ¿Por qué necesito contactar con el fabricante de mi sistema o de la placa base? ¿Por qué Intel no puede proporcionar la actualización necesaria para mi sistema?
R: Intel no puede ofrecer una actualización genérica debido a las personalizaciones del firmware del motor de gestión realizadas por los fabricantes del sistema y las placas base.

P: Mi sistema es reportado como Vulnerable por la herramienta de detección de versiones de Intel CSME. ¿Qué hago?
R: Un estado de puede ser Vulnerable suele verse cuando no se instalan alguno de los siguientes controladores:

• ® Controlador Intel Management Engine Interface (Intel® MEI)

• ® Controlador Intel Trusted Execution Engine Interface (Intel® TXEI)

Contacta con el fabricante de tu sistema o placa base para obtener los controladores adecuados para tu sistema.

P: El fabricante de mi sistema o placa base no aparece en tu lista. ¿Qué hago?
R: La lista siguiente muestra enlaces de fabricantes de sistemas o placas base que han proporcionado información a Intel. Si tu fabricante no aparece en la pantalla, contacta con ellos usando sus mecanismos estándar de soporte (página web, teléfono, correo electrónico, etc.) para recibir ayuda.

P: ¿Qué tipos de acceso necesitaría un atacante para explotar las vulnerabilidades identificadas?
R: Si el fabricante del equipo activa las protecciones de escritura de descriptores Flash recomendadas por Intel, un atacante necesita acceso físico al firmware Flash de la plataforma para explotar vulnerabilidades identificadas en:

• CVE-2017-5705
• CVE-2017-5706
• CVE-2017-5707
• CVE-2017-5708
• CVE-2017-5709
• CVE-2017-5710
• CVE-2017-5711

Fin de la fabricación

El atacante obtiene acceso físico actualizando manualmente la plataforma con una imagen maliciosa de firmware a través de un programador flash conectado físicamente a la memoria flash de la plataforma. La protección contra escritura de Flash Descriptor es una configuración de plataforma que normalmente se establece al final de la fabricación. La protección contra escritura del descriptor de Flash protege los ajustes del Flash contra cambios maliciosos o no intencionados una vez finalizada la fabricación.

Si el fabricante del equipo no activa las protecciones de escritura de Flash Descriptor recomendadas por Intel, un atacante necesita acceso al núcleo operativo (acceso lógico, Anillo del Sistema Operativo 0). El atacante necesita este acceso para explotar las vulnerabilidades identificadas aplicando una imagen de firmware maliciosa a la plataforma mediante un controlador malicioso.

La vulnerabilidad identificada en CVE-2017-5712 es explotable remotamente a través de la red junto con una credencial válida del Intel® Management Engine. La vulnerabilidad no es explotable si no hay una credencial administrativa válida disponible.

Si necesitas más ayuda, contacta con el Servicio de Atención al Cliente de Intel para solicitar un servicio online.