Intel SA00086 / CVE-2017-5712 è sfruttabile da remoto?

Naviga le tue risposte
1

Riguardo alla vulnerabilità Intel MEI / AMT del 2017-11-20, qualcuno può spiegare le specifiche di questa terminologia: "consente a un utente malintenzionato con accesso amministratore remoto al sistema di eseguire codice arbitrario" ? Significa escludere qualsiasi tipo di exploit remoto come l'utilizzo di pacchetti di rete appositamente predisposti?

Ho visto questo CVE contrassegnato come un exploit remoto su alcuni siti Web, ma guardando la spiegazione in realtà sembra che questo richiede l'accesso locale (come root / amministratore) da sfruttare. Mi rendo conto che qualcosa di simile a un amministratore di dominio di Windows potrebbe corrispondere al conto come "amministratore remoto" con accesso locale, ma come si applica a un sistema Linux in cui non è consentito l'accesso di root (amministratore) in remoto?

    
posta Server Fault 24.11.2017 - 22:33
fonte

1 risposta

1

Nel contesto di Linux, se si ottiene la root tramite un exploit di escalation di privilegi, possono distribuire un rootkit tramite AMT o apportare altre modifiche al sistema che non saranno in grado di provare / rimuovere con banali correzioni del sistema operativo.

Lo scenario è:

  1. Un utente malintenzionato ottiene l'esecuzione di codice in modalità remota nel contesto del server Web (ad es. www-data o un utente che Apache esegue o sceglie il server Web preferito). A questo punto dovresti essere in grado di identificare questi eventi nei tuoi registri e capire come hanno fatto ad accedere al sistema, e potenzialmente ripristinare / patch / rimuovere backdoor.

  2. Attraverso una vulnerabilità di escalation dei privilegi, ottengono il privilegio root / UID = 0. Tuttavia, i log potrebbero essere disponibili e potresti essere in grado di correggere / ripristinare.

  3. Sfruttano la vulnerabilità AMT / IMT e ottengono l'esecuzione di AMT. A questo punto perdi visibilità normale a quello che hanno fatto a livello AMT, e potrebbero usare questo accesso per installare una backdoor o un rootkit che potrebbe essere davvero difficile da scoprire / rilevare o sradicare.

Il punteggio temporale per te potrebbe non essere lo stesso di un RCE non autenticato, a seconda del contesto del sistema, quindi direi che si tratta di una vulnerabilità di media vulnerabilità.

Il caso n. 3 si applica anche agli aggressori autenticati che potrebbero voler ottenere un accesso persistente o mascherare le loro attività in un modo che non sarebbe visibile all'utente tramite un SIEM / remoto syslog o altri mezzi.

Spero che questo aiuti a risolvere il problema.

    
risposta data 25.11.2017 - 14:46
fonte

Leggi altre domande sui tag

Ripristino della crittografia completa di TrueCrypt con wordlist Ignorare la protezione "double submit cookie"?