Vulnerabilità Intel AMT: come si presenta una minaccia locale?

7

INTEL-SA-00075 descrive un vulnerabilità nel firmware Intel AMT / ISM / SBT. Dal bollettino Intels questa è una minaccia sia a livello locale che remoto.

Qual è una minaccia nello scenario locale? Comprendo la minaccia a livello di rete, ma Intel afferma che questa vulnerabilità rimane una minaccia a livello locale.

Dal loro bollettino:

An unprivileged local attacker could provision manageability features gaining unprivileged network or local system privileges on Intel manageability SKUs

Non capisco come questo rappresenti una minaccia. Se il servizio non viene fornito, non vi è alcuna minaccia e, per eseguire il provisioning del servizio, un utente ha bisogno di privilegi amministrativi (o deve avere accesso fisico). Se un utente ha già i privilegi di amministratore, allora sfruttare questo non li compra (e l'accesso fisico implica comunque i privilegi di root, ad esempio gli attacchi usb tra gli altri). Mi manca qualcosa?

    
posta n00b 11.05.2017 - 16:23
fonte

2 risposte

1

Come @polynomial spiegato sopra: "Se il servizio [LMS] non è in esecuzione, non può essere sfruttato."

Tuttavia, in termini di ambiente locale, sarebbe più accurato affermare: "Finché il servizio non è in esecuzione sul computer di destinazione o su qualsiasi computer con le autorizzazioni per gestire quel computer", allora non è un exploit da sfruttare avuto.

Ad esempio, se il controller di dominio ha LMS in esecuzione, ma il computer del CEO non ha funzionato, il controller di dominio potrebbe essere compromesso e il criterio di gruppo potrebbe essere utilizzato per installare LMS sul computer del CEO e quindi è possibile accedere a AMT.

    
risposta data 12.08.2017 - 17:58
fonte
1

Credo che ci siano più definizioni conflittuali di "provisioning". Provisioning AMT (accesso remoto); vs intel AMT service install / exec come sistema.

Un dispositivo può eseguire il software LMS, tuttavia l'hardware AMT non deve essere configurato per l'accesso remoto; se il software LMS può riconfigurare l'hardware per abilitare l'accesso remoto (e impostare credenziali arbitrarie), la vulnerabilità consente l'esecuzione di codice in modalità remota a livello di hardware.

Se l'accesso all'hardware è già configurato / abilitato, il vettore software è irrilevante. (Non è nemmeno necessario un sistema operativo per il controllo remoto / accesso al disco virtuale)

    
risposta data 25.11.2017 - 00:02
fonte

Leggi altre domande sui tag