Falle di sicurezza nelle CPU Intel Core, Xeon, Atom e Celeron (milioni di PC). Il tool di verifica

Intel ha segnalato un grave problema di sicurezza legato a buona parte della propria produzione CPU, relativo ad alcuni servizi in background attivi nei processori stessi in acune circostanze. Nello specifico sono emerse vulnerabilità in Intel Management Engine (IME), Server Platform Services (SPS) e Trusted Execution Engine (TXE), sebbene la criticità sia maggiore nel primo caso.

Si tratta di processi che possono essere eseguiti a basso livello, a monte del sistema operativo, di cui gli utenti (anche appassionati) non hanno probabilmente mai sentito parlare. Nelle mani sbagliate, però, questi processi costituirebbero di fatto una corsia preferenziale per attacchi informatici, qualora fossero vulnerabili. E il caso sembra proprio questo, essendo la stessa Intel a comunicarlo e quindi non servono conferme di nessun tipo. Quali sono i processori interessati? Parliamo potenzialmente di milioni di PC:

- Intel Core di sesta, settima e ottava generazione
- Intel Xeon E3-1200 v5 & v6
- Xeon serie Scalable
- Xeon serie W
- Atom serie C3000
- Serie Atom E3900 Apollo Lake
- Serie Pentium Apollo Lake
- Celeron serie N e J

Basta anche la prima voce dell'elenco per capire la portata del problema. Secondo lo US-CERT, United States Computer Emergency Readiness Team, le versioni vulnerabili sono quelle del firmware IME nelle versioni 11.0, 11.5, 11.6, 11.7, 11.10 e11.20 (ma non andate a controllare, c'è un tool che vi proponiamo fra poco per il check). Le versioni vulnerabili per quanto riguarda SPS e TXE sono rispettivamente le 4.0 e 3.0.

Ok, ma quali rischi si corrono?

Lo dice Intel stessa, con una lista di potenziali rischi non certo di poco conto. In primis un attacco mirato potrebbe permettere di "impersonare" i processi IME/SPS/TXE, di fatto dando il via libera a processi di ogni tipo perché il check di sicurezza verrebbe facilmente superato. Una conseguenza diretta, che vale come secondo punto, sarebbe la possibilità di caricare ed eseguire codice invisibile al sistema operativo e all'utente, operando su un livello inferiore. Possibili anche malfunzionamenti e crash, ma questo terzo punto sembra nulla rispetto alla gravità dei primi due.

Nonostante tutto Intel ha classificato il problema come "Importante" e non "Cruciale", quello più grave in assoluto, forse perché si tratta di processi che richiedono competenze molto elevate per essere attaccati e modificati. Resta il fatto che il problema esiste e dovrà essere risolto al più presto, specie ora che la notizia è pubblica.

Il mio PC è affetto dal problema?

C'è un modo per saperlo, visto che Intel ha rilasciato uno strumento di diagnostica apposito. Vista la lista dei processori interessati è molto probabile. Si può scaricare a questo indirizzo (11,59MB), sia in formato .zip per sistemi operativi Microsoft Windows sia in formato .gz per Linux. Una volta scaricato si dovrà scompattare il file in una cartella e scegliere se eseguire il test da riga di comando o il più comodo file "Intel-SA-00086-console.exe" presente nella cartella DiscoveryTool, da eseguire ovviamente come amministratore.

Si apre per qualche secondo la console e viene generato nella stessa cartella un file di log, con nome "SA-00086-XXXXXX-2017-11-22-08-50-48.log", dove al posto delle X ci sarà un codice diverso da PC a PC, così come differente potrà essere la data e l'ora. L'importante è il contenuto del messaggio, che nel nostro caso recitava così:

Sistema vulnerabile, come da attese.

Come si risolve?

Intel consiglia di contattare il produttore della scheda madre posseduta oppure il produttore OEM del PC per sapere se è disponibile una soluzione nella forma di un nuovo firmware cumulativo. Insomma, esistono soluzioni specifiche per modelli specifici, motivo per cui è davvero difficile che Intel da sola possa rilasciare centinaia di fix differenti: ogni partner svilupperà i propri. Gigabyte ha già annunciato di essere al lavoro per rilasciarne qualcuno davvero a breve, da utilizzare con le proprie schede madri serie Z370 e 200. Molto lecito attendersi che altre aziende siano al lavoro per fare lo stesso, in lotta contro il tempo.