V Intel čipsetoch dlhé roky zraniteľnosť umožňujúca vzdialené ovládnutie

Značky: Intelbezpečnosť

DSL.sk, 2.5.2017

Vo firmvéri pre niektoré funkčnosti čipsetov Intel platforiem sa nachádza dlhé roky bezpečnostná zraniteľnosť, ktorá umožňuje útočníkovi získanie kontroly nad systémom zrejme nezávisle na operačnom systéme.

Na zraniteľnosť Intel upozornil v pondelok.

Nachádza sa vo firmvéri pre opakovane kritizovaný Management Engine, ME, nezávislý procesor prítomný v Intel čipsetoch bežiaci vlastný operačný systém a zabezpečujúci niektoré funkčnosti.

Konkrétne sa nachádza vo firmvéri pre funkčnosti Active Management Technology, AMT, a jej oklieštené verzie Small Business Technology, SBT, a Intel Standard Manageability, ISM. AMT umožňuje manažovať systém na diaľku cez sieť aj bez funkčného a bežiaceho operačného systému, keď firmvér v čipsete umožňuje vzdialený prístup a manažment.

Hoci ME sa nachádza v každom čipsete moderných Intel platforiem, firmvér pre AMT, SBT alebo ISM sa nachádza len v niektorých modeloch, napríklad u desktopových a notebookových platforiem určených pre firmy a označených vPro. U bežných spotrebiteľských PC platforiem sa takýto firmvér nenachádza a tieto nie sú ohrozené.

Zraniteľné sú podľa dostupných informácií verzie firmvéru už od roku 2010.

Kompletné detaily ktoré všetky systémy sú zraniteľné, ako ich jednoducho detekovať a za akých presne okolností sú zraniteľné zatiaľ nie sú jasné. Intel na detekciu zraniteľného systému odporúča na Windows použiť jeho nástroj Intel SCS System Discovery.

Podľa oznámenia Intelu vzdialený útok neprivilegovaného útočníka cez sieť má byť možný iba ak je AMT alebo ISM na danom systéme nielen prítomná ale aj aktivovaná, umožňuje mu získať následne systémové oprávnenia. Zraniteľnosť je označená ako kritická a Intel jej pridelil podľa hodnotenia CVSSv3 závažnosť až 9.8 z desiatich.

Podľa niektorých zdrojov je možné identifikovať systémy, ktoré majú AMT nastavené, podľa toho, či sa dá na ne pripojiť na TCP portoch 16992 alebo 16993 určených pre vzdialený prístup k AMT. Či je to ale nutná podmienka nie je jasné.

Lokálny útočník môže útočiť a získať lokálne systémové oprávnenia alebo neprivilegovaný sieťový prístup v prípade AMT, ISM aj SBT.

Zraniteľnosť sa nachádza vo firmvéroch verzií 6 až 11.6, v skorších a neskorších verziách nie. Spoločnosť chybu opravila v nových firmvéroch, ktoré je možné identifikovať podľa posledného štvormiestneho čísla vo verzii začínajúceho na 3. Intel priamo nový firmvér ale neposkytuje na stiahnutie, dodať ho musia výrobcovia počítačov.

Ak firmvér nie je dostupný, je z povahy problému aj podľa odporúčania Intelu potrebné deaktivovať AMT alebo ISM nástrojmi na to určenými, napríklad Intel AMR Configuration Utility, ACUConfig. Zároveň na Windows je potrebné zastaviť a deaktivovať službu Local Management Service, ktorá počúva na portoch 16992 až 16995, 623 a 664 a dátovú komunikáciu následne doručuje procesoru ME lokálne.




Najnovšie články:



Diskusia:

jakto ze neposkytuje Od: martiiiiiinHK | Pridané: 2.5.2017 9:53 Sice nespristupnili noby firmware, ale upozornili na chybu. Odpovedať Známka: 8.0 Hodnotiť:

Re: jakto ze neposkytuje Od: syntaxterrorXXX | Pridané: 2.5.2017 10:24 Nejde o chybu, ale zverejnenie presnych hodnot vah vitazstiev v testoch antivirusovych programov v uvadzanom obdobi pre rozhodovanie zakaznikov v urcitych segmentoch trhu. Odpovedať Známka: -7.1 Hodnotiť:

Re: jakto ze neposkytuje Od: oflinee | Pridané: 2.5.2017 11:05 Jedine offline, bez wifi, bez bluetooth, a káblovou klávesnicou je systém v bezpečí. Odpovedať Známka: 3.3 Hodnotiť:

Re: jakto ze neposkytuje Od: hejjjj | Pridané: 2.5.2017 11:06 ...a bez prístupu ľudí k hardwareu. Odpovedať Známka: 7.3 Hodnotiť:

Re: jakto ze neposkytuje Od reg.: hulo . | Pridané: 2.5.2017 12:03 Stačí zapojený ethernetový a napájací kábel a počítač je zraniteľný. Odpovedať Známka: 4.5 Hodnotiť:

Re: jakto ze neposkytuje Od: 78569822365 | Pridané: 2.5.2017 15:36 Netreba ani ethernet stačí USB kľúč, prípadne predinštalovaný ware na motherboarde alebo mobil spárovaný cez bluetooth s offline PC. Odpovedať Známka: 6.0 Hodnotiť:

Re: jakto ze neposkytuje Od: a278617 | Pridané: 2.5.2017 20:00 alebo citali co sa na PC deje podla toho blikajuceho ledky Odpovedať Hodnotiť:

Re: jakto ze neposkytuje Od: reg.: Houston | Pridané: 2.5.2017 19:51 Nespristupnili, lebo AMT firmware je ulozeny spolu s BIOS/UEFI. Preto kazda doska musi dostat vlastny update. Chyba nie je v HW (ME engine v chipsete) ale je sprosto softwarova. Preto su postihnute len pocitace ktore su "vPro" a ktore naviac maju funkciu ZAPNUTU! Samozrejme normalne pri kupeni dosky je AMT "nenakonfigurovane" a teda sa ziadny AMT kod v ME engine nevykonava a preto dany pocitac nie je postihnuty. Odpovedať Známka: 6.0 Hodnotiť:

NSA rulez Od: kuprezak | Pridané: 2.5.2017 10:00 this is not a bug, it's a feature Odpovedať Známka: 9.3 Hodnotiť:

Re: NSA rulez Od: huanggg | Pridané: 2.5.2017 10:55 to bude ten dovod, preco je to pritomne len na doskach pre firmy... Odpovedať Známka: 5.0 Hodnotiť:

Re: NSA rulez Od: quix_ | Pridané: 2.5.2017 17:51 A ja neborak mam od dellu schvalne pred mnohymi rokmi kupovany dell optiplex s linuxom a lalaho vpro na skatuli,takze som postihnuty.. no vyborne:D Odpovedať Známka: 6.0 Hodnotiť:

Re: NSA rulez Od: :Pjetro de | Pridané: 2.5.2017 12:21 presne, okrem toho je to intel, takze tam vobec nic nevadi, ide len o jedine: ze to je intel Odpovedať Známka: 2.2 Hodnotiť:

Re: NSA rulez Od reg.: poldinko | Pridané: 2.5.2017 12:55 presne na tento komentár od pjetra som sa tešil odkedy som prečítal nadpis chýba len označenie intel-dementel a bolo by to dokonalé kto nemiluje flame wars nemá čo na dsl.sk robiť Odpovedať Známka: -0.9 Hodnotiť:

Re: NSA rulez Od: :Pjetro de | Pridané: 2.5.2017 13:59 no vidis, dockal si sa :) Odpovedať Známka: 5.4 Hodnotiť:

Re: NSA rulez Od: _kubo_ | Pridané: 4.5.2017 9:01 Dementa. Odpovedať Hodnotiť:

Re: NSA rulez Od: vsevec | Pridané: 2.5.2017 17:09 akurát som to sem prišiel napíšať Odpovedať Hodnotiť:

Kde je jednoduchy tool na overenie? Od: dfdsfdsfsdf | Pridané: 2.5.2017 10:22 Hrozne je, ze navod na kontrolu dlhy ako moja noha, a ziadny krok nie je 100%-tny. Miesto toho aby spristupnili jednoduchy tool, odporucaju stiahnutie nejakeho mega velkeho balika bloatwaru. Odpovedať Známka: -1.4 Hodnotiť:

Re: Kde je jednoduchy tool na overenie? Od: Klovatina | Pridané: 2.5.2017 11:13 Mha? Vytrhneš kábel keď nejsi pri kompe a je vyriešené :D Odpovedať Známka: 7.1 Hodnotiť:

Re: Kde je jednoduchy tool na overenie? Od: dj_v | Pridané: 2.5.2017 12:44 zavrieš jedny zadné vráta, tak musíš otvoriť druhé. Intel logic Odpovedať Známka: 7.8 Hodnotiť:

Re: Kde je jednoduchy tool na overenie? Od: Menovec | Pridané: 2.5.2017 13:23 AMD ani nevie kde má aké vráta... Odpovedať Známka: -7.3 Hodnotiť:

Re: Kde je jednoduchy tool na overenie? Od: syntaxterrorXXX | Pridané: 2.5.2017 15:40 Ale vie, kam vedu. Odpovedať Známka: 7.1 Hodnotiť:

AMT je backdoor Od: Circiq | Pridané: 2.5.2017 15:15 Ja to tvrdim roky - cele AMT je obycajny backdoor do systemu. Keď ešte Intel začínal s vPRO/AMT,myslím nejaké obdobie core2duo procesorov, tak sa vyrabali fyzicky odlišné motherboardy s vPRO čipom a bez neho. Napr. Rusko malo zákaz dovozu kompov s vPRO :) Zaujimave je že intel poskytoval predajcom bonusy za co najväčší predajny podiel vPRO/AMT. V ďalšej generácií vPRO/AMT už ale túto funkčnosť implementoval intel priamo do chipsetu. Čiže každý komp s Intel chipsetom ma AMT- len niektoré ho nemajú 'softwarové aktivovane' a ak ma pamäť neklame AMT/vPRO by malo byt možné aktivovať aj dialkovo cez sieť:) od generacie Skylake čiže od 2015 ma intel implementované funkciu stáleho načúvanie always-on listening, funguje samozrejme aj keď je PC vypnuté, aby bolo možné PC zapnuť hlasovým pokynom. Kde sú tie casy, keď na každé odpočúvanie bolo potrebné mať súdne povolenie. Odpovedať Známka: 5.4 Hodnotiť:

Re: AMT je backdoor Od reg.: Lars Schotte | Pridané: 2.5.2017 17:01 to by bolo zaujimave info, ked by to bola pravda, ze naozaj, rusi zakazali dovoz hentych komponentov. to by bolo jeden z mala pripadov, ked by nejaka vlada naozaj sa starala o IT bezpecnost svojich obcanov a organizacii. ja to ale vidim negativne, kedze rusi uz teraz tiez pouzivaju pre-snowdenovske odpocuvanie internetzu, lebo ked sa dozvedeli od snowdena, co robia amerika, tak si povedali, ze aj oni scu. aby to nebol zas dalsi hoax, ako tie starwars, de americania nabullshittovali cely svet, ze oni maju nejaku technologiu, z keru dokazu odpalit ICBM z kozmu, cize nieco ako vtedy protiraketovy stit (v skutocnosti mali hovno) a tym bankrotovali CCCP, lebo rusi si naozaj mysleli, ze take nieco existovalo a vyvyjali velmi drahe protiopatrenia. diskusie o THAAD a podobne kecy vyzeraju byt rovnaky bullshit, a neprekvapilo by ma, ked by aj snowden nebol nejaka hyperbola. Odpovedať Známka: -5.0 Hodnotiť:

Re: AMT je backdoor Od: reg.: Houston | Pridané: 2.5.2017 19:29 No vidis. A teraz sa jasne ukazalo, ze AMT tam "nie je softwarovo deaktivovane" ale tam nie je vobec. Chyba sa neprejavuje na "nie vPro" pocitacoch. Keby konspiracia aj bola pravdiva, tak potom je to vPro tak "Super Hyper" deaktivovane, ze ani ten backdoor nefunguje a to este musis mat v pocitaci i5/i7 procesor, lebo ten ME engine neutiahne vsetko. Ja tu uz cele roky tvrdim, ze ME a AMT su dve rozdielne veci a teraz sa to jasne ukazalo. Okrem toho Intel stale predava chipsety aj s vPro aj bez. Mozes sa slobodne rozhodnut, ktory si kupis a zlozis. Hotove stroje od velkych firiem maju aj tak vacsinou vlastny management (ako iLo od HP, napriklad) Zakaz malo Rusko alebo ruske statne nakupy? Link? Intel poskytuje predajcom bonusy neustale. Mas link na nejake SPECIALNE bonusy, co boli poskytovane? Lebo take iste bonusy boli poskytovane pri uvedeni Centrina, za predaje VBI, pri uvedeni prvych SSD a teraz pri XPoint. Odpovedať Známka: 10.0 Hodnotiť:

Re: AMT je backdoor Od: reg.: Houston | Pridané: 2.5.2017 19:30 AMT sa da dialkovo aktivovat len za predpokladu, ze ti na sieti bezi seriozny DNS server, Intel SCS toolkit, IIS, Active Directory, SQL server, TLS sifrovanie, A ROVNAKE POVERENIA v SCS serveri aj firmwari daneho zariadenia. Na ich zadanie je nutna spolupraca a specificky kod v BIOSe. Ak ti taketo nieco beha po sieti a ty o tom nevies, je uplne zbytocne hovorit o bezpecnosti, ked v OS a aplikaciach mas radovo viacej zranitelnosti. Odpovedať Známka: 10.0 Hodnotiť:

Re: AMT je backdoor Od: reg.: Houston | Pridané: 2.5.2017 19:31 K tomu "always-on", pleties sem procesory. S chipsetmi to nema nic spolocne (okrem toho, ze potrebujes najnovsi). Procesor ma integrovany len nizko-prikonovy DSP cip, nic viac. Je otazka softwaru, ktory bezi na danom PC, ako ho naprogramuje a na co ma reagovat. Ak si nevies ustrazit software, ktory pustas na pocitaci, naco chces hovorit o bezpecnosti? Okrem toho to zrejme bude vyzadovat specificky hardware (rovnako ako Windows Hello). Okrem toho si zaspal dobu. Xbox Kinect, MotoX a Core-M procesory uz maju presne ten isty cip integrovany. Skylake je len dalsi v rade. Presne to iste mozem povedat o Wifi a BT, vsak pocitac sa moze cez ne niekam pripojit a nieco odoslat, ake je to nebezpecne! Odpovedať Známka: 10.0 Hodnotiť:

Re: AMT je backdoor Od: reg.: Houston | Pridané: 2.5.2017 19:45 Samozrejme, masina musi byt v SLEEP mode, inak DSP v procesore nema napajanie. Takze to nie je zapnutie ale zobudenie. Okrem toho cele to stoji (AJ) na ACPI tabulkach (NHLT). Takze je to lahko vypnutelne (dufam v polozku v BIOSe) ale nie je problem tabulku NHLT z ACPI vyhodit pred startom OS. Odpovedať Známka: 10.0 Hodnotiť:

funkcia pre NSA Od: vsevec | Pridané: 2.5.2017 17:09 To nie je chyba, to je funkcia pre NSA Odpovedať Známka: 10.0 Hodnotiť:

hmmmmm Od: Reikii | Pridané: 3.5.2017 0:06 Nevadi, aj tak pouzivam Windows. Odpovedať Známka: 6.0 Hodnotiť:

L.Štúr Od: Polak2017 | Pridané: 3.5.2017 8:10 Posielam kvety za chybu "detekovať" Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár