¿Puede un usuario sin privilegios explotar alguna de las vulnerabilidades de INTEL-SA-00086?

5

Varias de las vulnerabilidades más recientes de Intel Management Engine son enumeradas como vulnerabilidades locales, permitiendo que la ejecución de código en el sistema aumente sus privilegios al contexto ME. Uno de ellos ( CVE-2017-5708 ) afirma que permite que un proceso no autorizado acceda a contenido privilegiado A través de un vector no especificado. Esto no da pistas sobre lo que se requiere para explotarlo. Tengo una curiosidad específica por la escalada de privilegios o las vulnerabilidades de fuga de información.

Según mi conocimiento, en un sistema que ejecuta el ME, asumiendo que AMT no está provisto, el espacio de usuario solo puede interactuar con el ME a través de HECI. Esto requiere instrucciones privilegiadas, por lo que solo puede hacerlo el kernel (o la raíz a través del kernel). ¿Se puede explotar cualquiera de estas vulnerabilidades por completo en el espacio de usuario, usando solo instrucciones no privilegiadas? Esto es lo que hace la diferencia entre ser realmente desagradable, pero exagerado, y ser un desastre a gran escala.

La puntuación del vector CVSSv3 dice que CVE-2017-5708 requiere "privilegios bajos" (PR: L), pero no proporciona más detalles (mientras que a Cisco advisory dice que el ataque requiere acceso a un usuario privilegiado). Lo mismo se aplica a CVE-2017-5710, pero ese es un exploit contra Intel TXT, que, a mi entender, solo agrega instrucciones privilegiadas.

¿Un proceso de bajo privilegio que se ejecuta como usuario aislado puede aprovechar cualquiera de estas vulnerabilidades para obtener privilegios más altos o leer información valiosa, asumiendo que no hay vulnerabilidades en el kernel, y asumiendo que los controladores MEI y TEXI no están presentes? Algunas fuentes como The Register parecen decir explícitamente que un proceso altamente privilegiado puede explotar estas vulnerabilidades , pero no explican de dónde obtuvieron esa información. De acuerdo con el CSSv3 documento de especificaciones , PR: L está diseñado para ataques que solo requieren privilegios básicos de usuario, mientras que PR: H requiere privilegios "significativos", como privilegios administrativos. Esto hace que parezca que el ataque funciona como un usuario regular, en el anillo 3, pero entra en conflicto con las otras fuentes anteriores (así como mi limitada comprensión de los métodos de comunicación con el ME).

Según una de las personas que descubrió una de estas vulnerabilidades, el vector se encuentra " En algún lugar entre "acceso a /dev/mei0 y acceso a través de un programador flash. No estoy seguro de si está implicando simplemente que el vector es diferente, o si requiere más privilegios que el acceso al dispositivo de caracteres, pero menos que el proporcionado por el acceso físico y un programador flash. Una discusión sobre IRC reveló que la vulnerabilidad original podría estar relacionada con la configuración incorrecta del puente P2SB PCI en chipsets Intel Series 100 (Skylake PCH), pero las implicaciones específicas parecen ambiguas (por no mencionar, esto es solo para la primera vulnerabilidad revelada, la que será discutida en la próxima charla de BHEU, no ninguna de las otras descubiertas por la auditoría interna de Intel).

¿Puede un usuario no privilegiado de Ring 3 explotar cualquiera de estas vulnerabilidades?

    
pregunta forest 28.11.2017 - 01:54
fuente

0 respuestas

Lea otras preguntas en las etiquetas