Comments 48
На хабре-гигтайаме новость и обсуждение вначале тут https://habrahabr.ru/company/kaspersky/blog/328100/ а то тут только ATM упомянут, а проблема что показала
Intel выпустила официальный инструмент для проверки системы на наличие уязвимости под Windows 7/10, а также руководство для его использования.
и в другом механизме — ME
http://vpro.by/cve-2017-5689-poyasneniya-k-uyazvimosti-intel-amt-ot-20170501
AMT это, грубо говоря, удалённое управление, основанное на возможностях ME.
Intel выпустила официальный инструмент для проверки системы на наличие уязвимости под Windows 7/10, а также руководство для его использования.
Запустил утилиту на потребительской плате на H97 — ахтунг уязвима, т.к. ME прошита 9.1.25… Прошил на 9.1.41…, запустил утилиту — не уязвима.
А как технологию AMT плата не поддерживала, так и не поддерживает.
Так что перед проверкой утилитой можно и прочитать
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr
Step 1: Determine if you have an Intel® AMT, Intel® SBA, or Intel® ISM capable system. If you determine that you do not have an Intel® AMT, Intel® SBA, or Intel® ISM capable system then no further action is required.
Наличие бага и возможность его эксплуатации — это разные вещи. Тут вот тоже говорится "требуется, чтобы технология AMT уже была проинициализирована/сконфигурирована."
Формально, уязвимость есть, но эксплуатация её с и без AMT — это совершенно разные вещи.
Очень странно, может, утилита ориентируется исключительно на версию ME?
Об этом я и говорю. У Интела первым делом стоит проверить наличие технологии, а только потом запускать утилиту проверки.
Если почитать первое сообщение на хабре и сообщение Интел (https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr) то эксплуатацией без АТМ тоже пугают.
А если уязвимость есть и без ATM то возможно желательно ее закрыть
У меня есть ноутбуки Lenovo ThinkPad 220-240 которые в бюллетене (вот какой там чипсет? а то любят писать подвержены на чипсете Q...), 10 мая придется шерстить по всем спискам. Но проблема что производители могут и забить на старые модели, не говоря про производителей чисто материнских плат.
Прошивку ME можно обновить самостоятельно
Да. Так я ее обновил, т.к. производитель перестал выпускать BIOS в 2015 году. Почему-то прошивка установилась 5M, а не потребительская 1.5М (у других на том форуме было похожее) Вот только тот сайт никак не связан с Intel и на сайте Intel ее не найти. В продакшине такое обновление с левых источников несколько рисковано....
Улыбнуло все таки у Lenovo датой выпуска обновлений
ThinkCentre M93/M93p Tiny Affected Target availability 5/17/2017
ThinkPad X230, X230i Affected 8.1.71.3608 Target availability 6/17/2017
ThinkPad X240 Affected 9.5.61.3012 Target availability 6/17/2017
Думаем одно ME обновить, а разница в выпуске у Lenovo в месяц, или в полтора от объявления ....
В качестве первичного экспресс-анализа, произвести сканирование сети на предмет наличия открытых портов TCP:16992-16995, 623, 664 на рабочих станциях, серверах и других узлах сети.
www.infosec.ru/news/10047
Я правильно понимаю, что если эти порты не открываются, то бояться нечего?
Только вот с «просканировать» могут возникнуть вопросы, ибо сделать локально будет недостаточно, т.к. сконфигурированная AMT-система может управляться удалённо с выключенным локальным агентом (LMS) и такие порты недоступны с проверяемого компьютера, а только из локальной сети. Но для этого нужно точно знать, что речь идёт именно о AMT-варианте, который в простом случае идентифицируется характерной наклейкой а-ля «vPro support» на вашем компьютере/ноутбуке/планшете.
В те же дни официальные сообщения безопасности для своих клиентов выпустили крупнейшие производители серверов и персональных компьютеров: сообщение от HP, от Dell, от Lenovo, от Fujitsu. Там подробная информация об уязвимых прошивках и ссылки на обновленные версии.
Где, где хоть одна обновлённая версия?! Вы бы хоть сами эти ссылки открыли — в качестве решения там только полное отключения AMT, никаких обновлений никто не выложил.
Находим нужную версию прошивки в списке, идём на страницу загрузки, скачиваем. По факту в рамках версии они универсальные — используя файлы с сайта Fujitsu вполне можно решать проблемы на платах HP/Intel.
К примеру вот.
http://www8.hp.com/us/en/intelmanageabilityissue.html
Вы наверное просто бюллетни смотрели.
А ещё есть UEFI, SecureBoot и куча подобного кошмара, которые создавались для разработчиков (главным образом осей и прошивок, чтоб на кодерах экономить), а пользователям от них одни только проблемы.
аутсорсинг обслуживания железа короче.
Ещё один обывательский вопрос, который меня терзает: что за необходимость обновлять именно биос? Если дело в каких-то чипсето-специфичных функциях, почему работой с ними не занимается операционная система через условный «драйвер», который гораздо легче обновить с учётом всех заложенных в ОС механизмов разделения прав и контроля доступа?
Вообще мне не понятна современная тенденция выводить высокоуровневые функции работы с железом за пределы ОС. С учётом относительно более высокой стоимости исправления ошибки в «прошивке» это выглядит странным и нелогичным.
WakeOnLAN был хорош, возможно, на нем и следовало остановиться, чтобы не выдумывать недооперационку с суперправами доступа к железу.
Функционал по идее должен давать экономию в обслуживании больших (более 1к) парков пк. Скорее всего именно так он и задумывался. И возможно, что кто-то и пользуется большинством фич.
1. Чуть более ответственно обращаться с функцией strncmp
2. Предоставить возможность аппаратно отключить небезопасные функции, такие например, как прямое взаимодействие своих зондов с сетевыми картами, прозрачный перехват пакетов и горячая прошивка чего либо, напрямую из сети поступившего.
2. Ну смысл технологии в этом и заключался. Там, кстати, есть подписанные логи, что бы контролировать доступ и изменения, и ACL, удаленный доступ можно тоже отключить. Вроде как и обновлением прошивок можно управлять.
и горячая прошивка чего либо, напрямую из сети поступившего
на современной микросхеме SPI хранится сразу несколько прошивок и управляют ей сразу несколько мастеров, каждый из которых хранит в своем регионе изменяющиеся во время загрузки и нормально работы данные, и если всю микросхему разом защитить от записи джампером, то все эти модифицируемые данные придется выносить в CMOS SRAM (15 лет назад именно там они и хранились), к которой очень просто получить доступ через CPU IO-порты 70h/71h или 74h/75h и у которой никаких защитных механизмов нет, а сама она в заметных объемах (256Кб, которые сейчас используют большая часть реализаций UEFI, а ведь есть еще ME, GbE и EC) стоит как самолет.источник
Можено попробовать разнести модифицируемые часто и модифицируемые только при обновлении данные по разным SPI-микросхемам и защитить «джампером» последнюю, но это удорожает производство и разработку платы и прошивки, поэтому массовый рынок этим не заморачивается и, скорее всего, никогда не будет.
- Технология Intel AMT должна быть проинициализирована/сконфигурирована (по умолчанию AMT находится в состоянии unconfigured)
- Через AMT нельзя устанавливать и как-то манипулировать установленным на компьютере ПО (без специально предварительно установленного для такой процедуры дополнительного ПО с поддержкой Intel AMT, предназначенного для таких целей)
- Удалённая загрузка (IDE-R) с помощью Intel AMT не самое простое дело (а главное — проблемное), потому говорить об этом как о уязвимости — нужно иметь действительно хорошую фантазию
- Самый реальный ущерб и неприятность от потенциального доступа с использованием данной дыры — это баловство взломщика, который может включить/выключить/перезагрузить компьютер
- Заметить доступ с использованием Intel AMT KVM на взломанный компьютер можно достаточно просто — по моргающей рамке вокруг экрана и соответствующем предупреждении в System Tray (если стоит IMSS)
- Если кто-то используя данную дырку зайдёт и изменит ваш АМТ-админский пароль, с помощью той же дыры вы сможете изменить его повторно (после чего см. следующий пункт)
- Защититься от уязвимости можно просто — добавив аутентификацию по сертификатам (парольная защита — это прошлый век) и отключив доступ по http (порт 16992) в ностройках Intel AMT
Защититься от уязвимости можно просто — добавив аутентификацию по сертификатам (парольная защита — это прошлый век) и отключив доступ по http (порт 16992) в ностройках Intel AMT
Читал как была обнаружена уязвимость и основным основным фактор, который заставил копать в этом направлении была документация AMT:
Intel AMT supports both Digest and Kerberos authentication…
An exception to this is the admin account, which always uses digest authentication.
Continuous use of digest authentication implies that each HTTP request must be sent twice, since
the first attempt results in a 401 Digest challenge response.
То есть защититься можно только ограничив или отключив доступ по http?
- Отключив AMT, но теоретически и по опыту это может иметь проблемы — условно говоря BIOS пишут вендоры, а Intel предоставляет им готовый модуль в виде MEBx, что для них по сути «чёрный ящик» со всеми вытекающими.
- Расконфигурировав AMT, но теоретически (и точно практически) можно запустить локальное конфигурирования с помощью функции HostBasedSetup, как минимум в клиентский режим (если он не отключён).
- Включив TLS (порт АМТ 16993), отключив HTTP (порт АМТ 16992) и добавив к дефолтной парольной защите аутентификацию по сертификатам и тогда прежде чем будет запрошен пароль, произойдёт запрос на клиентский сертификат, а если его нет — соединение не будет установлено (т.е. не произойдёт запрос «дырявого» пароля).
Если же у вашей системы нет поддержки Intel AMT, то можно не беспокоиться, т.к. у неё не будет доступа («аппаратного» — через Intel ME в так называемом outbound — внеполосном режиме, когда трафик перехыватывается Intel ME/AMT и он не доходит до ОС) по сети через 16992/16993, т.к. такие порты лишь у Intel AMT (а у Intel SBT нет).
Материнка MSI MS-7923 на H97.
И как мне самому этой через эту штуку порулить своим компом?
(чисто интересно)
Извиняюсь за нубские вопросы.
https://habrahabr.ru/company/dsec/blog/278549/#comment_8793723
Потому «могут быть и на других чипсетах, только выключенные» — некорректная формулировка. Если утрировать, то чипсеты Qxx — это «полная версия», а все остальные — версии разной степени урезанности от полной, в том числе это касается и Intel AMT.
И, наконец, потому не «выключенные», а «не включённые», таки это разные вещи.
Утилита кажется тупо смотрит версию ME на материнской плате.
Тоже H97 только Гигабайт H97-D3H, такой же ответ по адресу.
На хабре была ссылка https://habrahabr.ru/company/kaspersky/blog/328100/#comment_10206766 если перейти там по ссылке то там можно посмотреть версию МЕ, ну при желании обновить — но сама программа и прошивка неофициальные и все на собственный риск. Потребуется скачать две ссылки (только у меня встала версия 5М, а не 1.5M)
Обновил, утилита от Intel показывает
Risk Assessment
Based on the version of the ME, the System is Not Vulnerable (verify configuration).
If Vulnerable, contact your OEM for support and remediation of this system.
…
ME Information
Version: 9.1.41.3024
SKU: Intel® Small Business Advantage(SBA)
State: Not Provisioned
Driver installation found: True
EHBC Enabled: False
LMS service state: Running
microLMS service state: NotPresent
Но повторяю — по адресу такой же ответ «Web browser access to Intel® Small Business Technology is disabled on this computer, or the page in the address bar is unavailable.», а не как на первой картинке поста.
Our team is working on this BIOS update in order to fix this issue. Once the BIOS is ready, we'll post in our website immediately. The target release date will be by the end of this month.
А что, удаленно поменять прошивку нельзя?
Уязвимость в Intel AMT оказалась серьёзнее, чем думали