Компания Intel сообщила (https://security-center.intel.com/advisory.aspx?intelid=INTE... об устранении критической уязвимости, позволяющей непривилегированному атакующему получить доступ к функциям удалённого управления оборудованием. Проблема затрагивает серверные системы с чипами, предоставляющими независимые интерфейсы Intel Active Management Technology (https://en.wikipedia.org/wiki/Intel_Active_Management_Techno... (AMT), Intel Standard Manageability (ISM) и Intel Small Business Technology, применяемые для мониторинга и управления оборудованием. Утверждается, что уязвимость проявляется в версиях прошивок с 6 по 11.6 включительно, персональные компьютеры на чипах Intel проблеме не подвержены.
Описывается два возможных вектора атаки - сетевой и локальный. При сетевой атаке злоумышленник может получить системные привилегии для управления системой через AMT и ISM (сетевые порты 16992 и 16993), а при локальной атаке непривилегированный пользователь системы может получить доступ через локальное обращение к интерфейсам AMT, ISM и SBT. В обычных условиях вход в интерфейс AMT защищён паролем, но рассматриваемая уязвимость позволяет получить доступ без пароля. Указанные интерфейсы позволяют получить доступ к функциям управления питанием, мониторингу трафика, изменению настроек BIOS, обновлению прошивок, очистке дисков, удалённой загрузке новой ОС (эмулируется USB-накопитель с которого можно загрузиться), перенаправлению консоли (Serial Over LAN и KVM по сети) и т.д. Предоставляемых интерфейсов достаточно для получения атакующим полного контроля за системой (самый простой способ - загрузить Live-систему и внести из неё изменения в основную систему).
Для пользователей, которые не имеют возможность установить обновление прошивки подготовлено руководство (https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075�... с описанием обходных путей решения проблемы. В частности для блокирования удалённых атак рассказано как отключить отслеживание в трафике управляющих пакетов (перевод в состояние UnConfigure), а для защиты от проведения локальных атак указано как отключить сервисы LMS (Local Manageability Service). Из внешних сетей (по TCP/IP) уязвимость может быть эксплуатирована (https://arstechnica.com/security/2017/05/intel-patches-remot... при активации в системе сервиса LMS (Local Manageability Service, применяется только на серверах под управлением Windows), который инициирует проброс на AMT сетевых портов 16992 и 16993. Также отмечается (http://mjg59.dreamwidth.org/48429.html) наличие систем, которые осуществляют проброс портов 6992 и 16993 без обработчика на уровне ОС. В настоящее время сервис Shodan находит более 7 тысяч хостов с открытыми сетевыми портами 16992 и 16993.
Напомним, что современные чипсеты Intel оснащены отдельным микропоцессором Management Engine, работающим независимо от CPU и операционной системы. На Management Engine вынесено выполнение задач, которые необходимо отделить от ОС, такие как обработка защищённого контента (DRM), реализации модулей и низкоуровневые интерфейсы для мониторинга и управления оборудованием. Примечательно, что Фонд СПО несколько лет назад предупреждал (https://fsf.org/blogs/community/active-management-technology) о потенциальных проблемах с безопасностью в Management Engine и признавал не соответствующим критериям (https://www.opennet.ru/opennews/art.shtml?num=28284) обеспечения приватности и свободы пользователей. Кроме того, Йоанна Рутковская (Joanna Rutkowska) развивала (https://www.opennet.ru/opennews/art.shtml?num=43596) проект по созданию ноутбука, не сохраняющего состояние (stateless), обеспечивающий блокировку скрытого доступа к информации пользователя из аппаратных компонентов, подобных Management Engine.
URL: http://mjg59.dreamwidth.org/48429.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=46482
