Sono interessato dalla vulnerabilità di escalation dei privilegi di Intel AMT / ISM / SBT?

8

Ho letto della vulnerabilità della sicurezza che Intel spiega qui

Su altri siti ho letto che anche le CPU Intel Core-i sono influenzate e che Intel AMT ha a che fare con il nome vPro .

La loro guida per scoprire se sei interessato mi chiede di verificare il badge vPro, quindi ho iniziato controllando se i miei sistemi supportano vPro.

Ho una CPU Intel desktop (4790K) che secondo Intel's Ark non ha la funzione vPro, così come Chipset Z97 . Posso ora supporre che non sono interessato dalla vulnerabilità su quella macchina?

Su un altro sistema ho una CPU Xeon E3-1220v5 che ha la funzione vPro in base a Arca di Intel . Tuttavia, il chipset C232 che sto usando non ha la funzione vPro. Posso anche presumere che sono al sicuro dalla menzionata vulnerabilità?

Entrambi i sistemi eseguono Linux e BSD.

    
posta comfreak 02.05.2017 - 15:59
fonte

2 risposte

9

Basato su Matthew Garrett - vulnerabilità AMT remota di Intel , che è tra le più ragionevoli (in termini di quantità di iperbole ) articoli che ho visto finora, puoi solo essere influenzato se il tuo sistema soddisfa tutti e quattro dei seguenti criteri:

  • Una CPU che supporta la tecnologia di gestione attiva
  • Un chipset della scheda madre che supporta AMT
  • Hardware di rete supportato
  • Il firmware del Management Engine contiene il firmware AMT

Non vi è alcuna garanzia che il tuo sistema soddisfi tutti e quattro i criteri in cui è interessato, ma se non soddisfa tutti e quattro, allora non potrebbe essere influenzato dalla vulnerabilità come attualmente noto.

In base alla tua affermazione che i chipset in entrambi i sistemi non supportano vPro (di cui AMT è una parte) , possiamo quindi concludere che non soddisfa tutti e quattro i criteri e quindi nessuno dei due sistemi può essere influenzato.

In particolare, per essere interessati, è necessario disporre di vPro, ma l'hardware con funzionalità vPro da solo non è sufficiente per essere interessato; il sistema deve anche avere i dadi e i bulloni AMT (ad esempio il suo firmware) installati. Ciò avverrebbe in qualsiasi circostanza normale dal fornitore del sistema.

Apparentemente, sotto Linux, puoi controllare AMT guardando l'output lspci ; se lspci non elenca controller di comunicazione con MEI nella descrizione, quindi AMT non è in esecuzione e sei al sicuro.

    
risposta data 02.05.2017 - 16:11
fonte
4

Am I affected by the Intel AMT/ISM/SBT escalation of privilege vulnerability?

nmap fornisce un nuovo sript: link per rilevare la vulnerabilità AMT di scansione del tuo sistema.

Sotto il sistema linux copia lo script http-vuln-cve2017-5689.nse sul tuo:

/usr/share/nmap/scripts/ quindi aggiorna il database nmap: nmap --script-updatedb

Per usarlo, esegui il seguente comando:

nmap -p 16992 --script http-vuln-cve2017-5689 Your_local_IP_system

Esempio di output dalla documentazione di nmap:

PORT      STATE SERVICE       REASON
16992/tcp open  amt-soap-http syn-ack
| http-vuln-cve2017-5689:
|   VULNERABLE:
|   Intel Active Management Technology INTEL-SA-00075 Authentication Bypass
|     State: VULNERABLE
|     IDs:  CVE:CVE-2017-5689  BID:98269
    
risposta data 08.05.2017 - 21:35
fonte

Leggi altre domande sui tag