Intel устранил удалённую уязвимость в технологии AMT (Active Management Technology)

4 месяца ago admin 0

Компания Intel сообщила об устранении критической уязвимости, позволяющей непривилегированному атакующему получить доступ к функциям удалённого управления оборудованием. Проблема затрагивает серверные системы с чипами, предоставляющими независимые интерфейсы Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) и Intel Small Business Technology (SBT), применяемые для мониторинга и управления оборудованием. Утверждается, что уязвимость проявляется в версиях прошивок с 6 по 11.6 включительно, персональные компьютеры на чипах Intel проблеме не подвержены.

Описывается два возможных вектора атаки — сетевой и локальный. При сетевой атаке злоумышленник может получить системные привилегии для управления системой через AMT и ISM (сетевые порты 16992 и 16993), а при локальной атаке непривилегированный пользователь системы может получить доступ через локальное обращение к интерфейсам AMT, ISM и SBT. В обычных условиях вход в интерфейс AMT защищён паролем, но рассматриваемая уязвимость позволяет получить доступ без пароля. Удалённая атака возможна только при явном включении AMT, для локальной атаки в системе должны быть активированы специальные драйверы. Детали о методе эксплуатации пока остаются неопубликованными.

Интерфейс AMT позволяет получить доступ к функциям управления питанием, мониторингу трафика, изменению настроек BIOS, обновлению прошивок, очистке дисков, удалённой загрузке новой ОС (эмулируется USB-накопитель с которого можно загрузиться), перенаправлению консоли (Serial Over LAN и KVM по сети) и т.д. Предоставляемых интерфейсов достаточно для проведения атак, применяемых при наличии физического доступа к системе, например, можно загрузить Live-систему и внести из неё изменения в основную систему.

Для пользователей, которые не имеют возможность установить обновление прошивки подготовлено руководство с описанием обходных путей решения проблемы. В частности для блокирования удалённых атак рассказано как отключить отслеживание в трафике управляющих пакетов (перевод в состояние UnConfigure), а для защиты от проведения локальных атак указано как отключить сервисы LMS (Local Manageability Service). Определить наличие в системе поддержки AMT из Linux можно командной ‘lspci| grep -E «MEI|HECI»‘, если один из данных контроллеров присутствует, то следует убедиться в BIOS (ctrl+p при загрузке), что он не активирован.

Из внешних сетей (по TCP/IP) уязвимость может быть эксплуатирована при активации в системе сервиса LMS (Local Manageability Service, применяется только на серверах под управлением Windows), который инициирует проброс на AMT сетевых портов 16992 и 16993. Также отмечается наличие систем, которые осуществляют проброс портов 6992 и 16993 без обработчика на уровне ОС. В настоящее время сервис Shodan находит более 7 тысяч хостов с открытыми сетевыми портами 16992 и 16993.

Напомним, что современные чипсеты Intel оснащены отдельным микропоцессором Management Engine, работающим независимо от CPU и операционной системы. На Management Engine вынесено выполнение задач, которые необходимо отделить от ОС, такие как обработка защищённого контента (DRM), реализации модулей и низкоуровневые интерфейсы для мониторинга и управления оборудованием. Примечательно, что Фонд СПО несколько лет назад предупреждал о потенциальных проблемах с безопасностью в Management Engine и признавал не соответствующим критериям обеспечения приватности и свободы пользователей. Кроме того, Йоанна Рутковская (Joanna Rutkowska) развивала проект по созданию ноутбука, не сохраняющего состояние (stateless), обеспечивающий блокировку скрытого доступа к информации пользователя из аппаратных компонентов, подобных Management Engine.


Source: pirates.in.ua