Selon le post du centre de sécurité Intel daté du 1er mai 2017, il existe une vulnérabilité critique sur les processeurs Intel qui pourrait permettre à un attaquant d'obtenir des privilèges (escalade de privilèges) en utilisant AMT, ISM et SBT.
Étant donné que l'AMT a un accès direct au matériel réseau de l'ordinateur, cette vulnérabilité matérielle permettra à un attaquant d'accéder à n'importe quel système.
Il existe une escalade de vulnérabilité de privilèges dans les versions Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) et Intel® Small Business Technology versions 6.x, 7.x, 8.x 9.x, 10 .x, 11.0, 11.5 et 11.6 qui peuvent permettre à un attaquant non privilégié de prendre le contrôle des fonctionnalités de gestion fournies par ces produits. Cette vulnérabilité n'existe pas sur les PC grand public basés sur Intel.
Intel a publié un outil de détection disponible pour Windows 7 et 10. J'utilise des informations provenant dmidecode -t 4
du site Web Intel et en effectuant une recherche sur ce que j'ai utilisé avec mon processeur Intel® Active Management Technology (Intel® AMT) 8.0
.
Produits concernés:
Le problème a été observé dans les versions de micrologiciel de gestion Intel 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 et 11.6 pour Intel® Active Management Technology, Intel® Small Business Technology et Intel ® Gérabilité standard. Les versions avant 6 ou après 11.6 ne sont pas affectées.
La description:
Un attaquant local non privilégié pourrait fournir des fonctionnalités de gestion obtenant des privilèges de réseau ou de système local non privilégiés sur les SKU de gestion Intel: Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) et Intel® Small Business Technology (SBT)
Comment puis-je facilement détecter et atténuer la vulnérabilité d'élévation de privilèges d'Intel sur un système Linux?
Réponses:
Le message le plus clair que j'ai vu à ce sujet est celui de Matthew Garrett (y compris les commentaires).
Matthew a maintenant publié un outil pour vérifier votre système localement: construisez-le, exécutez-le avec
et il indiquera si AMT est activé et provisionné, et si c'est le cas, les versions du firmware (voir ci-dessous). Le README contient plus de détails.
Pour analyser votre réseau à la recherche de systèmes potentiellement vulnérables, scannez les ports 623, 624 et 16992 à 16993 (comme décrit dans le propre document d'atténuation d' Intel ); par exemple
analysera le réseau 192.168.1 / 24 et signalera l'état de tous les hôtes qui répondent. Être en mesure de se connecter au port 623 peut être un faux positif (d'autres systèmes IPMI utilisent ce port), mais tout port ouvert de 16992 à 16995 est un très bon indicateur d'AMT activé (du moins s'ils répondent de manière appropriée: avec AMT, cela signifie une réponse HTTP sur 16992 et 16993, cette dernière avec TLS).
Si vous voyez des réponses sur les ports 16992 ou 16993, la connexion à ceux-ci et la demande à l'
/
aide de HTTP renverront une réponse avec uneServer
ligne contenant «Intel (R) Active Management Technology» sur les systèmes avec AMT activé; cette même ligne contiendra également la version du firmware AMT utilisé, qui peut ensuite être comparée à la liste donnée dans l'avis d' Intel pour déterminer s'il est vulnérable.Voir la réponse de CerberusSec pour un lien vers un script automatisant ce qui précède.
Il existe deux façons de résoudre le problème «correctement»:
Si aucune de ces options n'est disponible, vous êtes en territoire d'atténuation. Si votre système compatible AMT n'a jamais été configuré pour AMT, alors vous êtes raisonnablement en sécurité; activer AMT dans ce cas ne peut apparemment être fait que localement, et pour autant que je sache, il faut utiliser le firmware de votre système ou le logiciel Windows. Si AMT est activé, vous pouvez redémarrer et utiliser le firmware pour le désactiver (appuyez sur CtrlPlorsque le message AMT s'affiche pendant le démarrage).
Fondamentalement, bien que la vulnérabilité de privilège soit assez désagréable, il semble que la plupart des systèmes Intel ne soient pas réellement affectés. Pour vos propres systèmes exécutant Linux ou un autre système d'exploitation de type Unix, l'escalade nécessite probablement un accès physique au système pour activer AMT en premier lieu. (Windows est une autre histoire.) Sur les systèmes avec plusieurs interfaces réseau, comme l'a souligné Rui F Ribeiro , vous devez traiter les interfaces compatibles AMT de la même manière que vous traiteriez n'importe quelle interface administrative (compatible IPMI ou interface hôte). pour un hyperviseur VM) et isolez-le sur un réseau administratif (physique ou VLAN). Vous ne pouvez pas compter sur un hôte pour se protéger:
iptables
etc. sont ici inefficaces, car AMT voit les paquets avant le système d'exploitation (et garde les paquets AMT pour lui-même).Les machines virtuelles peuvent compliquer les choses, mais uniquement dans le sens où elles peuvent confondre AMT et ainsi produire des résultats d'analyse confus si AMT est activé.
amt-howto(7)
donne l'exemple des systèmes Xen où AMT utilise l'adresse donnée à une DomU via DHCP, le cas échéant, ce qui signifie qu'une analyse montrerait AMT actif sur la DomU, pas sur le Dom0 ...la source
/proc/cpuinfo
oudmidecode
?La simple détection des ports ouverts pour ce service est insuffisante, cela n'indique pas si la version est affectée ou non. Notre équipe a créé un script python disponible sur notre github: CerberusSecurity / CVE-2017-5689 qui détecte si un système cible est vulnérable aux attaques à distance.
Exemple d'utilisation:
Cela devrait vous permettre de vérifier si vous êtes exploitable à distance. Si vous êtes intéressé, nous avons également écrit un court article de blog sur http://cerberussec.org/ avec notre vision de cette vulnérabilité.
la source
Intel a des outils pour Linux sur: Outils de détection et d'atténuation Linux
il y en a une fourchette au GITHUB
la source