Mitigazione dei potenziali rischi con il recente exploit Intel ME

2

Oggi Slashdot ha pubblicato un articolo su un nuovo exploit che coinvolge Intel Management Engine (ME) che consente l'estrazione non rilevabile dei dati da un sistema tramite un tunnel Serial-over-LAN verso un host esterno. Perché questo non coinvolge il sistema operativo host non è rilevabile lì (tramite l'acquisizione di pacchetti).

Come faccio a leggere un articolo, in genere non è possibile disabilitare semplicemente il ME.

Questo porta alla mia domanda: quali contromisure possono essere adottate per evitare che tale tunnel Serial-Over-Lan possa essere stabilito anche su un host esterno.

Un commento nell'articolo originale su bleepingcomputer.com per esempio chiede informazioni sulle porte che potrebbero essere bloccate in un router. La ricerca preliminare non ha rivelato alcuna porta usuale e non sarei sorpreso se non fosse coinvolta una porta specifica, poiché è definita dal software con qualsiasi RAT in esecuzione sull'host.

Riflettendo su questo, ho avuto l'idea che, poiché lo stack TCP / IP AMT non è apparentemente integrato nello stack del sistema operativo, forse il cambiamento dell'indirizzo MAC del SO e l'applicazione di un controllo degli accessi MAC basato sul router potrebbe essere efficace? Per me, il sistema operativo host sarebbe Windows 8. Ma sarei felice di ricevere risposte per qualsiasi sistema operativo host.

    
posta antipattern 09.06.2017 - 03:01
fonte

3 risposte

2

AFAIK, cose come AMT (AMD ha la stessa roba chiamata PSP), funziona solo con una particolare scheda di rete che supporta l'istruzione.

Quindi, oltre a disabilitare AMT dal BIOS, che non è disabilitato al 100% (a meno che non si illumini il firmware), un altro metodo di attenuazione è il cavo di rete scollegato per connettersi all'adattatore Intel e un'altra scheda di rete che non parla Intel AMT.

C'è un molti fornitori di schede di rete . , dal momento che AMT è proprietario di Intel, quindi è una scommessa sicura che utilizzare qualsiasi scheda di rete esterna (non quella interna, in quanto alcuni potrebbero licenza tecnologia di Intel per renderlo AMT pronto) che non utilizza Intel Chipset (con un rischio di Abilitazione AMT).

    
risposta data 09.06.2017 - 17:49
fonte
0

Disabilita AMT e questo dovrebbe rimuovere il problema. Segui questa guida su come eseguire questa operazione.

In alternativa per la vulnerabilità specifica ci sono un certo numero di patch disponibile.

Personalmente cercherò prima il minimo. Se non si richiede questa funzione, la disabiliterò, oltre alle patch. In questo modo, se lo abiliti di nuovo per qualsiasi motivo, verrà riparato.

    
risposta data 12.06.2017 - 11:11
fonte
0

C'è una squadra che sta attivamente sviluppando soluzioni per disabilitare il chip AMT all'origine:

link

Implica l'esecuzione di un BIOS personalizzato chiamato coreboot: link

e rimozione di parti critiche del sistema AMT: link

    
risposta data 28.11.2017 - 20:25
fonte

Leggi altre domande sui tag