Intel ha recentemente pubblicato un bollettino di sicurezza che informava gli utenti dell’esistenza di gravi vulnerabilità nei suoi processori. Diversi produttori hanno fornito l’elenco dei computer a rischio e promesso la distribuzione di un aggiornamento firmware. Dell ha deciso anche di disattivare uno dei sottosistemi incriminati da alcuni PC aziendali, in quanto ritenuto superfluo.
Il suo nome è Intel Management Engine ed è presente nelle CPU dell’azienda californiana fin dal 2008. Si tratta in realtà processore all’interno del processore. La versione più recente è basata sul chip Quark, sul quale è installato il sistema operativo MINIX 3. Il Management Engine funziona in maniera indipendente dal sistema operativo principale con separati processi, thread, memory manager, driver e file system. Le vulnerabilità presenti nel firmware possono essere sfruttate per ottenere l’accesso a questo componente e quindi controllare l’intero computer.
Intel Management Engine è una tecnologia progettata per offrire una maggiore sicurezza in ambiente enterprise, ma è comunque integrata in tutti i processori Intel destinati ai normali utenti. Durante la procedura di acquisto di alcuni computer Dell è possibile selezionare la configurazione senza questo componente. Il produttore ha quindi trovato il modo di disattivarlo. Non è chiaro tuttavia se l’opzione è stata aggiunta prima o dopo la pubblicazione del bollettino di sicurezza da parte di Intel.
Una scelta analoga è stata effettuata da Purism e System76. In particolare, Purism aveva deciso di disattivare il Management Engine prima della scoperta delle vulnerabilità. Altri produttori potrebbero offrire ai loro utenti la stessa possibilità. Al momento nessuno di essi ha rilasciato la patch.
Aggiornamento dell’11 dicembre
In merito alla disattivazione del Management Engine, Dell ha rilasciato il seguente comunicato:
Dell ha offerto l’opzione per disattivare Intel vPro Management Engine (ME) su alcune piattaforme commerciali da diversi anni. Alcuni dei nostri clienti hanno richiesto tale opzione e, come risposta, abbiamo fornito il servizio di disattivazione del Management Engine in fabbrica per soddisfare le loro specifiche necessità.