¿Intel SA00086 / CVE-2017-5712 se puede explotar de forma remota?

1

En lo que respecta al 2017-11-20 Vulnerabilidad de Intel MEI / AMT puede alguien explicarlo los detalles de esta terminología: "permite al atacante con acceso de administrador remoto al sistema ejecutar código arbitrario" ? ¿Significa esto excluir cualquier tipo de explotación remota, como el uso de paquetes de red especialmente diseñados?

He visto este CVE marcado como un exploit remoto en algunos sitios web, pero mirando la explicación parece que esto requiere acceso local (como root / administrador) para explotar. Me doy cuenta de que algo así como un administrador de dominio de Windows encajaría en la factura como "administrador remoto" con acceso local, pero ¿cómo se aplica esto a un sistema Linux donde no se permite el acceso de administrador (administrador) de manera remota?

    
pregunta Server Fault 24.11.2017 - 22:33
fuente

1 respuesta

1

En el contexto de Linux, si uno obtiene una raíz a través de un exploit de escalado de privilegios, puede implementar un rootkit a través de AMT o realizar otras modificaciones del sistema que no podrá probar / eliminar mediante arreglos triviales del sistema operativo.

El escenario es:

  1. Un atacante obtiene la ejecución remota de código dentro del contexto de su servidor web (por ejemplo, www-data o un usuario que Apache ejecuta, o elige su servidor web favorito). En este punto, debería poder identificar estos eventos en sus registros y averiguar cómo accedieron al sistema, y posiblemente recuperar / parchar / eliminar puertas traseras.

  2. A través de una vulnerabilidad de escalada de privilegios, obtienen el privilegio root / UID = 0. Aún así, los registros pueden estar disponibles y es posible que pueda parchear / recuperar.

  3. Explotan la vulnerabilidad de AMT / IMT y obtienen la ejecución de AMT. En este punto, pierde la visibilidad regular de lo que han hecho a nivel de AMT, y pueden usar este acceso para instalar una puerta trasera o un rootkit que puede ser realmente difícil de descubrir / detectar o erradicar.

El puntaje temporal para usted puede no ser el mismo que un RCE no autenticado, dependiendo del contexto del sistema, por lo que diría que es una vulnerabilidad de criticidad media.

El caso # 3 se aplica también a los atacantes autenticados que quieran obtener acceso persistente o enmascarar sus actividades de una manera que no sería visible para usted a través de un syslog remoto SIEM u otros medios.

Espero que esto ayude a solucionar el problema.

    
respondido por el Milen 25.11.2017 - 14:46
fuente

Lea otras preguntas en las etiquetas