La falla crítica de la CPU Intel afecta a millones de computadoras portátiles, y no es reparable

Un error que afecta a la mayoría de las CPU Intel lanzadas en los últimos cinco años no puede repararse completamente a través de un parche, según un informe publicado hoy por investigadores de seguridad de Positive Technologies .

El problema radica en el motor de gestión y seguridad convergente (CSME) en las CPU de Intel antes de los nuevos chips de 10a generación. Intel intentó abordar el problema como parte de un parche de firmware el año pasado, pero según los investigadores, no hay forma de que la compañía arregle completamente la vulnerabilidad.

El CSME es una "raíz de confianza" para el resto de la seguridad en la plataforma, lo que significa que el sistema depende de ella como una fuente confiable de seguridad criptográfica. Debido a que la falla está en el bootROM de CSME, no se puede cambiar después de la fabricación.

La falla deja a los sistemas afectados potencialmente abiertos a ataques de acceso físico o local, que serían no destructivos y no detectables una vez completados. Si bien Intel tiene algunas recomendaciones sobre cómo mitigar el problema , la única "solución" real es actualizar a una CPU de décima generación o posterior en su escritorio o comprar una nueva computadora portátil.

Positive Technologies dice que el siguiente paso para aquellos que buscan explotar la vulnerabilidad será extraer la clave de hardware, que cifra la clave del chipset, o una sola clave utilizada en toda la generación de CPU de Intel. Dejaré que la cita de los investigadores de seguridad sobre esa eventualidad hable por sí misma: "Cuando esto suceda, reinará el caos total. Se falsificarán las ID de hardware, se extraerá el contenido digital y se descifrarán los datos de los discos duros cifrados".

Una comunidad que agradecerá esta noticia son aquellos que buscan evitar el DRM y el contenido protegido por derechos de autor; La falla podría ser una bendición para el software molesto y los piratas de contenido digital.

Pronto se publicará un informe técnico completo de Positive Technologies, que ofrecerá una explicación técnica más completa de la vulnerabilidad.