Uno de los investigadores de F-Secure, una compañía finesa que lleva 30 años dedicada a la ciberseguridad, anunció esta semana que había descubierto un nuevo fallo en los procesadores de Intel. Tras Spectre y Meltdown de hace diez días, era lo peor que le podía pasar a la empresa. El fallo reside en la tecnología de gestión activa (AMT) que se utiliza para gestionar remotamente los equipos con procesadores Intel. Y son más de 100 millones de equipos los que usan AMT.
Tras un gran revuelo y titulares de todo tipo, la realidad ha sido un poco distinta, porque ha sido un patinazo de F-Secure. Intel ha indicado lo siguiente sobre este nuevo fallo:
Apreciamos a la comunidad de investigadores en seguridad que llamen la atención sobre el hecho de que los fabricantes de equipos no hayan configurado sus sistemas para proteger la extensión del BIOS que hace referencia al motor de gestión de Intel (MEBx). Emitimos en 2015 una serie de recomendaciones con las mejores prácticas para su configuración y la actualizamos en noviembre de 2017, y urgimos vigorosamente a los OEM a configurar sus sistemas para maximizar su seguridad. Intel no tiene ninguna prioridad mayor que la seguridad de nuestros clientes, y continuaremos actualizando regularmente nuestras recomendaciones a los fabricantes de equipos para asegurarnos de que poseen la mejor información posible sobre cómo segurizar su información.
Este fallo, además, es más bien una característica del BIOS. Los equipos con AMT disponen de una contraseña por defecto que es «admin» —algunos fabricantes la proporcionan sin clave alguna— para configurar el motor de gestión (ME) del procesador. Para cambiarla hay que tener acceso físico al equipo, tras lo cual se puede cambiar la contraseña, activar el acceso remoto con AMT, y acceder remotamente al equipo siempre que se quiera. La recomendación de Intel es que los que compren los equipos, supuestamente profesionales de la informática, configuren MEBx antes de la puesta en servicio del equipo, lo que incluye el cambio de la contraseña por defecto.
Vía: Ars Technica.