CVE-2017-5689 - пояснения к уязвимости Intel AMT от 2017.05.01

CVE-2017-5689 - пояснение к уязвимости Intel AMT Client ModeПояснения к уязвимости Intel AMT под кодовым названием CVE-2017-5689 (INTEL-SA-00075 в кодификации Intel) от первого мая 2017 года.

Сначала коротко, пострадавшие версии Intel AMT 6 и выше, полный список:

"Обычные" компьютеры (ноутбуки и т.д.), не имеющие поддержки Intel AMT - не пострадали.

К сведению - список чипсетов, поддерживающих Intel AMT (или всегда в меню выше).

 

 

Кому нужно бояться уязвимости CVE-2017-5689?

Данной уязвимости подвержены лишь системы с Intel AMT или на её основе:

  • Intel® Active Management Technology (AMT) — "классическая" версия Intel AMT.
  • Intel® Standard Manageability (ISM) — "кастрированная" версия Intel AMT (с обрезанным функционалом, обычно опускающим его до примитивного уровня Intel AMT верси 3.x).
  • Intel® Small Business Technology — технология на базе Intel AMT. Данный режим не актуален из-за отсутствия доступа к функционалу AMT, просто он может быть доступен в качестве альтернативы функционалу Intel AMT и какой из них использовать (а можно лишь или AMT или SBT) выбирается в BIOS.

В переводе на простой, это системы с чипсетами, начинающимися на букву Q: Q57, Q67... Q270.

Все компьютеры без поддержки AMT не имеют данной уязвимости.

Измерить температуру забортной воды не представляется возможным из-за отсутствия таковой!
Старший помощник Лом ©

Способы борьбы с CVE-2017-5689

Рекомендации по ограничению воздействия уязвимости на ваши системы Intel излагает в документе Mitigations for security vulnerability documented in INTEL-SA-00075. В частности, там описываются действия, как выборочно отключить Client Control Mode режим, либо вообще отключить LMS-драйвер, который позволяет Windows взаимодействовать Intel AMT локально.

Последовательность действий по рекомендациям Intel на счёт CVE-2017-5689

Intel рекомендует условно говоря следующую последовательность действий:

  1. Сначала всё касающееся Intel AMT отключить.
  2. Дождаться обновлений прошивки.
  3. Перешить.
  4. Снова всё включить.

К сожалению, по опыту, вендоры не будут спешить с выпуском обновлений прошивок с серьёзным креном от слова совсем. В апдейтах статьи я буду добавлять появившиеся подобные обновления для популярных старых Intel AMT систем (т.к. в основном, понятно, проблемы будут со старыми).

Нас будут интересовать прошивки, заканчивающиеся на тройку в последнем блоке цифр ревизии Х.х.xx.3xxx:

  • Intel AMT 6.2.61.3535
  • Intel AMT 7.1.91.3272
  • Intel AMT 8.1.71.3608
  • Intel AMT 9.1.41.3024
  • Intel AMT 9.5.61.3012
  • Intel AMT10.0.55.3000
  • Intel AMT11.0.25.3001
  • Intel AMT11.6.27.3264
     
  • (и новей)

Описание уязвимости

К уже сконфигурированной системе БЕЗ ПАРОЛЯ (!!!) можно получить доступ, при чём с получением админских прав. Соответственно, после доступа его можно изменить на новый. Поэтому уязвимость даёт следующее:

  • К сконфигурированной АМТ-системе можно получить доступ из локальной сети
  • К сконфигурированной АМТ-системе на работу через MPS можно получить доступ через интернет
  • В данном случае (если подтвердится данный вариант - статья обновляется) страдают именно сконфигурированные, а несконфигурированные такой проблемы не имеют
  • Сконфигурированные АМТ-системы с использованием mutual-аутентификации защищены (серьёзный довод в пользу использования взаимной проверки сертификатов)
  • К сконфигурированной системе с LMS драйвером можно получить локальный доступ

 

Практическая реализация CVE-2017-5689

Некоторое время назад я опробовал реализацию уязвимости AMT в локальной сети для портов 16992 (незащищённый HTTP-трафик), равно как и для тех, что сконфигурированы для работы с TLS - АМТ-порт 16993 (HTTPS-трафик). Практически подтверждено, можно зайти на компьютер с пустым паролем в условных пару кликов с подручными средствами в виде плагинов типа Postman или HttpRequester. так что с этой точки зрения уязвимость более чем критическая.

Однако мои грамотно сконфигурированные AMT-системы, где задействован не только пароль, но сертификат - благополучно избегают участи быть взломанными. Что тут говорить: пароли - это прошлый век, стопицотое доказательство. Итого, кто хочет как я - читайте mutual-аутентификацию и спите спокойно.

Правда о возможности использования CVE-2017-5689

Многочисленные источники, взахлёб пишущие о "катострофической уязвимости", которая позволяет "удалённо поставить на ваш компьютер любое приложение" и даже "переустановить вашу ОС" - как 99% других никогда не имели дела с АМТ и не понимают как оно НА САМОМ ДЕЛЕ работает. Ответственно заявляю, что максимум, что (как минимум пока) могут сделать все такие ужасные кулхацкеры - это выключить, включить, перезагрузить ваш компьютер. Да, неприятно, но уж про "удалённо поставить приложение" - это просто бред, ноги которого растут из прочтённых по диагонали рекламных буклетиков о возможностях технологии Intel AMT, не имеющий (к сожалению, кстати) никакого отношения к действительности.

Пару лет назад я как-то выставлял в интернет доступ свой компьютер, чтобы каждый мог при желании посмотреть возможности работы АМТ через интернет. При желании можно повторить, чтобы (не)грамотная публика посмотрела лично как это (не) работает.

 

 

п.с. Статья постоянно меняется, т.к. это просто записки для интересующихся темой в то время как компетентных источников в интернете чуть больше чем ноль, а русскоязычных просто нет. Написал статейку по теме на хабр, потому не хочу по правилам выкладывать сюда и дублировать контент. Если не опубликуют, размещу всё в подробностях здесь.

Update:

Опубликовали: CVE-2017-5689 — уязвимость Intel AMT в подробностях

  • Подробности подробностей, значит, опишу здесь чуть позже с учётом данной статьи.

 

Полезные ссылки по теме:

Информация по CVE-2017-5689, самые популярные и информативные, это:

 

Информация о прошивках, устраняющих CVE-2017-5689, от разных вендоров:

Lenovo

Пострадали продукты из Think-линеек: ThinkCentre, ThinkPad, ThinkServer, ThinkStation. Остальные (IdeaPad сотоварищи) не подвержены. Обновление прошивок для пострадавших планируется выпустить в течение двух месяцев - до конца июня 2017-го года.

Отдельно стоит отметить, что совсем старые Intel AMT 6 системы типа Lenovo ThinkPad X201, в списке просто отсутствуют, хотя они также подвержены проблемам - видимо обновлений на такое не дождаться. Для владельцев подобных, равно как и других, желающих пользоваться возможностями Intel AMT - добавляйте аутентификацию AMT по сертификату и спите спокойно - такая схема не подвержена уязвимости, т.к. пароль проверяется ПОСЛЕ того, как проверяется сертификат (т.е. дело до уязвимости с логином без пароля дело просто не дойдёт - хакеру потребуется сначала украсть ваш сертификат).

Hewlett Packard

Наибольшое количество пострадавших в линейках HP Elite (EliteDesk, EliteBook) и ProBook, также пострадали ZBook и другие. По срокам исправления пока информации нет, но AMT 6 системы в списке есть, потому надеяться на патч и для них пока можно.

список пострадавших систем

Fujitsu

Затронуты продукты из линеек CELSIUS, ESPRIMO, а также материнские платы.

 

Ссылка на источник от нашедшего уязвимость CVE-2017-5689

 

Intel

Пострадавшие материнские платы с техонологией:

SBT:

  • DB65AL
  • DB75EN
  • DB85FL

AMT:

  • DQ57TM / DQ57TML
  • DQ67EP / DQ67OW / DQ67SW
  • DQ77CP / DQ77KB / DQ77MK
  • DQ87PG

 

Для желающих перешить Intel ME самостоятельно, не дожидаясь официальной прошивки.

 

Другие ссылки по теме:

(статья обновляется...)

Комментарии

Если несконфигурированные системы уязвимости действительно не подвержены, не будет ли самым простым и единственно требуемым действием для устранения уязвимости выполнить Unconfigure в ACU Wizard?
(для тех, кто АМТ не использует, не использовал, и не планирует)

Аватар пользователя apple_rom

Верно, в том числе это и рекомендуется Intel к исполнению для устранения уязвимости. Однако, во-первых, если человек «АМТ не использует, не использовал, и не планирует», то, сложно предполагать, что он, вообще, до этого включил и/или сконфигурировал Intel AMT. А по умолчанию она выключена и/или расконфигурирована. А во-вторых, я бы рекомендовал зайти в MEBx (в общем случае - по CTRL-P при загрузке компьютера, сразу после отработки BIOS) и там нажать кнопку расконфигурации (или убедиться, что система не сконфигурирована). Если выяснится, что Вы там не были (и стоит пароль по умуолчанию админ-админ), то и делать ничего не надо (т.к. АМТ не сконфигурирована).

Однако  нужно заметить, что остаётся ненулевая возможность несконфигурированный АМТ-компьютер программно проинициализировать и уже после воспользоваться уязвимостью. Это технически сложно, но возможно. В частности потому Intel рекомендует удалить драйвер Intel LMS, который отвечает за подобное. Постараюсь как-нибудь собрать в кучу все подобные "теоретические" и прочие "конспирологические" варианты эксплуатации уязвимости, чтобы внести ясность.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
Anti-bot.