LINUX.ORG.RU

Intel ME Bugs угрожают миллионам Dell, HP, Lenovo, Acer, Panasonic, Fujitsu Computers

 , ,


1

1

После тщательного обзора безопасности своих продуктов Intel обнаружила пул из восьми критических уязвимостей, связанных с повышением привилегий, влияющих на Intel Management Engine (ME), Trusted Execution Engine (TXE) и Server Platform Services (SPS).
Используя эти уязвимости злоумышленник может получить полный контроль над машиной, загрузить и выполнить произвольный код и тп
Уязвимости влияют на процесоры Intel с with Intel ME (versions 11.0/11.5/11.6/11.7/11.10/11.20), SPE Firmware version 4.0, and TXE version 3.0:

  • 6th, 7th & 8th Generation Intel® Core™ Processor Family
  • Intel® Xeon® Processor E3-1200 v5 & v6 Product Family
  • Intel® Xeon® Processor Scalable Family
  • Intel® Xeon® Processor W Family
  • Intel® Atom® C3000 Processor Family
  • Apollo Lake Intel® Atom Processor E3900 series
  • Apollo Lake Intel® Pentium™
  • Celeron™ N and J series Processors

Источник новости https://fossbytes.com/intel-me-chip-criticial-vulnerabilities-fixed/
По ссылке также есть инфа от вендоров, какие устройства подвержены взлому
Intel выпустила тул, для детекта бага https://downloadcenter.intel.com/download/27150
Более подробно про саму уязвимость https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&la...

Собственно, пост этот выложил, тк ноут dell, а сам dell не спешит устранять уязвимость, хотя intel патчи выпустили http://www.dell.com/support/article/ca/en/cabsdt1/sln308237/dell-client-state...

★★★★

Оценка риска


На основе анализа, выполненного этим инструментом: Эта система не является уязвимой.

Дополнительную информацию можно получить в руководстве по программе обнаружения SA-00086, или в инструкции по безопасности Intel-SA-00086, перейдя по следующей ссылке: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&la...

Программа обнаружения INTEL-SA-00086
Версия приложения: 1.0.0.128
Дата сканирования: 26.11.2017 23:36:18

Информация о главном компьютере
Имя: WS
Производитель: MSI
Модель: MS-7885
Наименование процессора: Intel(R) Core(TM) i7-5820K CPU @ 3.30GHz
Версия ОС: Майкрософт Windows 10 Pro

Информация по Intel(R) ME
Двигатель: Intel(R) Management Engine
Версия: 9.1.37.1002
SVN: 1

dk- ()

Наличие такой дыры делает очень вероятным наличие других дыр. Не знаю, есть ли они там на самом деле, была ли эта ошибка следствием трагической случайности или системного подхода — но сейчас куча людей набросилась на новый лакомый кусочек в поисках новых дыр… Или набросятся, как только эксплуатация этой дыры перестанет приносить достаточные дивиденды. Так что до проведения (желательно — публичного) внешнего аудита безопасности исходников AMT держать системы с доступом к AMT из интернета — значит нарываться на неприятности.

Deathstalker ★★★★★ ()
Ответ на: комментарий от sqq

Главное, что мне комфортно.

Люблю стабильность. А не как у луноходов. То их год не трахают, то задерут до смерти почти, да еще без смазки, и дилдой возрастом в 10 лет.

dk- ()
Ответ на: комментарий от dk-

Я Линукс воспринимаю как конструктор, как и Android. И знаю одну простую вещь: если ты чего-то хочешь - сделай сам. Да, потратишь на это немало времени, но важен результат.

sqq ()

Только маленький нюанс: эта уязвимость не для удаленного доступа, а она позволяет ПОЛЬЗОВАТЕЛЮ обойти Intel Me. Естественно, с точки зрения Intel - это «угрожает» миллионам, а то еще загрузят в bios свою прошивку, не подписанную Intel.

praseodim ★★ ()
Ответ на: комментарий от dk-

В нюансы матриц пришлось немного вникать - чтоб камера на смарте норм фоткала пришлось драйвер камеры в прошивке править в ручную (настройки подбирал).

sqq ()
Ответ на: комментарий от sqq

Т.е. ты купил такое говно, что там даже софт на камеру не осилили?

Во потому то камеры только во флагманах нормально и снимают. Что мало купить глазок (пусть даже самый лучший на рынке).

Но мы отвлеклись:
Все ли это должны уметь делать? И всем ли это важно?

Лифт, ты в своем, часом, не настраивал?

dk- ()
Ответ на: комментарий от praseodim

Только маленький нюанс: эта уязвимость не для удаленного доступа, а она позволяет ПОЛЬЗОВАТЕЛЮ обойти Intel Me. Естественно, с точки зрения Intel - это «угрожает» миллионам, а то еще загрузят в bios свою прошивку, не подписанную Intel.

CVE-2017-5712

Buffer overflow in Active Management Technology (AMT) in Intel Manageability Engine Firmware 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 allows attacker with remote Admin access to the system to execute arbitrary code with AMT execution privilege.

kiotoze ★★★★ ()
Ответ на: комментарий от dk-

Это каждый сам для себя решает что ему надо или не надо. Я лишь сказал о том, что это позволяет сделать Линукс и Андроид - сделать то, что тебе надо и как ты хочешь.

sqq ()
Ответ на: комментарий от dk-

Я любой комп подключенный к сети считаю уязвимым. Сразу после установки соединения.

Прикол уязвимостей в Intel ME в том, что им может быть подвержен формально выключенный комп. Достаточно чтобы питание на мамку было подано.

Особенно интересно это выглядит на ноутбуках. Аккумулятор можно вытащить далеко не из любого ноута, а Intel ME на ноутах может иметь поддержку набортного файфая =).

mironov_ivan ★★★★★ ()
Ответ на: Intel ME нельзя обойти от sqq

Если есть уязвимости в этом нижнем уровне, то таки можно и обойти Intel Me.

В общем, пока что все применения этой уязвимости сводятся в первую очередь к какому-то виду расхачивания Intel Me.

praseodim ★★ ()
Ответ на: ключевое здесь от sqq

Читай внимательно. Не получить доступ админа, а имея доступ админа получить возможность запускать с правами AMT.

На всякий случай даже гуглом перевел:

Переполнение буфера в технологии Active Management (AMT) в Intel Manageability Engine Firmware 8.x / 9.x / 10.x / 11.0 / 11.5 / 11.6 / 11.7 / 11.10 / 11.20 позволяет злоумышленнику с удаленным доступом администратора к системе выполнять произвольный код с полномочиями выполнения AMT.

praseodim ★★ ()
Ответ на: комментарий от mironov_ivan

Прикол уязвимостей в Intel ME в том, что им может быть подвержен формально выключенный комп. Достаточно чтобы питание на мамку было подано.

А как это технически работает? Если комп формально выключен, то его сетевая плата (да хоть вайфай в ноуте) не сможет принять пакет по IP.

Для «побудки» или удаленного управления нужно уже на более низком уровне, чем TCP/IP обращаться. Вроде же для настройки AMT надо прописывать IP в биосе, иначе просто не достучаться до компа извне.

Соответственно, если никто этого не сделал (прописать IP в bios), то забраться на комп в формально выключенном состоянии можно только из локалки. Или я в чем-то заблуждаюсь?

praseodim ★★ ()
Ответ на: комментарий от sqq

Мне тоже не нужен гуглотранслейт, это я просто на всякий случай, вдруг сильно затупил на ровном месте проверил им. Только ты что-то не то вычитал. Еще раз медленно и внимательно прочитай. По всему построению фразы ее смысл, что права админа УЖЕ должны быть.

praseodim ★★ ()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от sqq

Нельзя обойти, без IntelMe у тебя просто не будет работать материнская плата.

Так ведь работает там, где его сумели выпилить или задизейблить. Хотя могут не работать некоторые вещи, вроде управления яркостью монитора с клавиатуры ноутбука. Еще серверные системы видимо имеют какой-то watchdog и ребутаются через полчаса без него.

praseodim ★★ ()
Ответ на: комментарий от praseodim

А как это технически работает? Если комп формально выключен, то его сетевая плата (да хоть вайфай в ноуте) не сможет принять пакет по IP.

Intel ME работает на отдельном CPU. Он может использовать и сетевуху и вайфай пока основная система выключена. Когда основная система включена, для поддержки сети уже нужна поддержка в драйверах со стороны ОС (чтобы пакеты, предназначенные для ME/AMT, передавать не дальше внутрь ОС, а в ME/AMT).

mironov_ivan ★★★★★ ()
Последнее исправление: mironov_ivan (всего исправлений: 1)

К счастью, на x230 ME можно полностью, абсолютно выключить :}

fornlr, а на том хипсторском дерьме, которое ты рекламируешь, можно? Или, может быть, они уже выпустили багфикс?

derlafff ★★★★★ ()
Ответ на: комментарий от mironov_ivan

Intel ME работает на отдельном CPU. Он может использовать и сетевуху и вайфай пока основная система выключена.

Это понятно.

Когда основная система включена, для поддержки сети уже нужна поддержка в драйверах со стороны ОС (чтобы пакеты, предназначенные для ME/AMT, передавать не дальше внутрь ОС, а в ME/AMT).

А вот тут не понял. Допустим даже для простоты у компа белый IP. Если атакующий находится за «тридевять земель», то он может только послать какой-то пакет (TCP,UDP,ICMP) на конкретный IP-адрес. Но если этот адрес банально даже на ARP запрос не отвечает, потому что выключен, как связь произойдет? Конечно, если AMT/Me умеет узнавать IP, используемый системой, когда она была включена, это облегчает дело, но все-равно много проблем (адрес может быть динамический, серый и т.п.

То есть, как не изворачиваться, но я не могу вообразить схему при которой атака может быть успешной извне. Разве что пакеты в настроенном роутере придут даже на выключенный комп. Но это если ARP-кэш на роутере не протух, а он обычно быстро протухает, когда нет соединений.

Из локалки же, конечно нет проблем. Обращаемя по MAC-адресу и готово.

praseodim ★★ ()
Ответ на: комментарий от mironov_ivan

Этот IP-адрес должен совпадать с IP-адресом включенного компа. Или хотя бы из той же подсетки (если роутер это допускает). На произвольный IP-адрес никто пакеты не доставит.

В случае, обычного использования AMT, владелец/админ заранее этот IP в bios прописывает.

praseodim ★★ ()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от mironov_ivan

Аккумулятор можно вытащить далеко не из любого ноута, а Intel ME на ноутах может иметь поддержку набортного файфая

Так ему еще придется взламывать соседский файфай. Бедный зонд, нелегко ему живется. Одна надежда на дебилов с постоянно воткнутой сеткой/вафлей. Впрочем, говорят сейчас таких много дурачков.

bread ()
Ответ на: комментарий от dk-

Люблю стабильность. А не как у луноходов. То их год не трахают, то задерут до смерти почти, да еще без смазки. Поэтому я сдал жёппу в аренду микрософту. Пусть каждый день, зато со смазкой!

И еще сам эту аренду оплачиваешь. Лол.

bread ()

Не работает их тулза. Написано, что Lenovo l560 подвержена, качаю их тулзу:

alex@alex-thinkpad-l560:/tmp/SA00086_Linux$ sudo ./spsInfoLinux64
[sudo] пароль для alex: 

Intel(R) spsInfo Version: 4.2.74.9 
Copyright(C) 2005 - 2017, Intel Corporation. All rights reserved.


Error 9460: Unknown or unsupported hardware platform

На сайте леново апдейты и закачки ТОЛЬКО под винду на эту модель.

PPP328 ()
Ответ на: комментарий от pawnhearts
alex@alex-thinkpad-l560:/tmp/SA00086_Linux$ sudo python intel_sa00086.py 
[sudo] пароль для alex: 
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.135
Scan date: 2017-11-28 14:29:45 GMT

*** Host Computer Information ***
Name: alex-thinkpad-l560
Manufacturer: LENOVO
Model: 20F1S0C500
Processor Name: Intel(R) Core(TM) i5-6200U CPU @ 2.30GHz
OS Version: Ubuntu 16.04 xenial (4.4.0-101-generic)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.0.0.1205
SVN: 1

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware is considered vulnerable for INTEL-SA-00086.
Contact your system manufacturer for support and remediation of this system.


For more information refer to the INTEL-SA-00086 Detection Tool Guide or the Intel Security Advisory Intel-SA-00086 at the following link: https://www.intel.com/sa-00086-support

PPP328 ()
Последнее исправление: PPP328 (всего исправлений: 1)