Intel CPU a rischio per un errore firmware: tutti i modelli coinvolti e come procedere alla verifica

Intel Technologies, chipmaker di fama internazionale leader delle soluzioni integrate a microprocessore, si trova a far fronte ad una questione decisamente importante che coinvolge i suoi prodotti di mercato nel contesto di un nuovo problema di sicurezza dalla portata rilevante.

Una serie di gravi falle accomuna la maggior parte dei processori Intel oggi in circolazione con particolare riferimento ad alcuni processi a basso livello attivi in background come Intel Management Engine, Server Platform Services e Trusted Execution Engine. 

Si tratta di denominazioni delle quali molto probabilmente non avete mai sentito parlare ma che, invece, rivestono importanza cruciale nella gestione dei sistemi e della sicurezza, in quanto una loro compromissione spianerebbe la strada ad ogni genere di attacco informativo da parte degli hacker malintenzionati.

Sembra essere proprio questo il caso, essendo stata Intel stessa a comunicare la criticità della situazione mediante un comunicato stampa d’urgenza che non necessita di ulteriori conferme circa la gravitò della situazione in gioco. Quali sono, al momento, le piattaforme Intel interessate dal bug di sicurezza? Ecco una lista. Lista che si rivolge a milioni e milioni di utenti.

– Intel Core di sesta, settima e ottava generazione
– Intel Xeon E3-1200 v5 & v6
– Xeon serie Scalable
– Xeon serie W 
– Atom serie C3000
– Serie Atom E3900 Apollo Lake 
– Serie Pentium Apollo Lake 
– Celeron serie N e J

Già dalla prima voce in elenco si evince la potenzialità distruttiva di una non inizializzazione di una manovra correttiva che porterebbe milioni e milioni di interessati al cospetto di ogni genere di attacco hacker. Secondo lo US-CERT, United States Computer Emergency Readiness Team, le versioni vulnerabili sarebbero quelle in riferimento ai firmware IME in versione 11.0, 11.5, 11.6, 11.7, 11.10 e 11.20, mentre per quanto riguarda SPS e TXE sono rispettivamente le revisioni 4.0 e 3.0.

Come posso fare per controllare la mia versione specifica del firmware Intel? Semplice, attraverso un semplice pacchetto applicativo della dimensione di pochi MB. Ma prima di passare in rassegna questo strumento vediamo di capire come stanno veramente le cose esaminando la posizione della società costruttrice. 

Intel, nei confronti del nuovo manifestato problema, espone una lista di potenziali rischi di non poco conto per tutti quegli utenti che adottano una delle revisioni sopra citate dei firmware per le proprie CPU. Un potenziale attacco mirato potrebbe consentire di prendere possesso dei processi in luogo di un check incondizionato dei processi IME/SPS/TXE.Una diretta conseguenza di un attacco in piena regola si potrebbe tradurre nella possibilità di eseguire codice invisibile al sistema ed all’utente operando a basso livello. A questo, inoltre, si potrebbero accompagnare crask e malfunzionamenti random ed improvvisi che, rispetto al prospetto fornito al punto precedente, appare più che altro come una vera e propria sciocchezza in luogo dei rischi derivanti da un’intromissione forzata che comprometta la nostra privacy e la riservatezza dei nostri dati.

Il problema è stato classificato da Intel con l’etichetta “Impostante” e non “Cruciale”, come di certo ci si sarebbe aspettato in una situazione così prospettata. La motivazione addotta a questa scelta potrebbe ricercarsi nel fatto che si tratta di processi che richiedono competenze molto elevate per essere bypassati sotto il profilo della sicurezza. Ad ogni modo, il problema resta concreto e tangibile e, da parte nostra, speriamo che lo sviluppatore provveda al più presto ad una sua risoluzione definitiva.Tornando al tool di verifica Intel di cui vi parlavamo poc’anzi, si ravvisa la presenza del pacchetto ZIP in download presso questo indirizzo che rimanda al centro di download del portale di riferimento. Si tratta di un pacchetto dati da appena 11.59MB che provvede ad identificare, eventualmente, la presenza della vulnerabilità specifica al problema sia in ambiente Windows che su Linux, grazie alla presenza di una contropprte applicativa in formato .gz disponibile dalla stessa area del sito.

Scarichiamo quindi il pacchetto di diagnostica per sistemi Windows e scompattiamo il file in una cartella. A questo punto possiamo procedere in due modi: attraverso l’imposizione di funzione da riga di comando o tramite il più comodo file eseguibile presente in cartella e qui identificato con l’indicativo “Intel-SA-00086-console.exe” presente nella cartella DiscoveryTool, Il file, ovviamente, sarà da avviare con privilegi da Amministratore.

All’apertura del programma si apre una console che genera un corrispettivo file di log nominato “SA-00086-XXXXXX-2017-11-22-08-50-48.log”, dove al posto delle X ci sarà un codice che cambia da computer a computer allo stesso modo del riferimento all’ora sopra indicata. In tal caso, l’importanza del tool si verifica nel messaggio che si accompagna al resoconto che, come da immagine seguente, dimostra la specifica vulnerabilità del nostro sistema.Come risolvere l’inconveniente? Intel consiglia di contattare il fornitore della vostra motherboard allo scopo di incitare il rilascio di un opportuno fix software da applicare ad un firmware specifico. La soluzione, quindi, varia da caso a caso e sarà quindi difficile prevedere un intervento ad ampio raggio da parte della software house di Santa Clara. Ogni OEM svilupperà il proprio i propri pacchetti correttivi. 

Gigabyte ha già annunciato di essere al lavoro per la concessione di una patch correttiva a breve da applicare ai sistemi della serie Z370 e 200. Allo stesso modo, è lecito aspettarsi l’intervento di altre aziende in tempi brevi. Vi terremo aggiornati al riguardo con successive informazioni e dettagli.