¿Estoy afectado por la vulnerabilidad de escalamiento de privilegios de Intel AMT / ISM / SBT?

Navega tus respuestas
8

Leí acerca de la vulnerabilidad de seguridad que explica Intel aquí

En otros sitios, he leído que las CPU Intel Core-i también están afectadas y que Intel AMT tiene que ver con el nombre vPro .

Su guía para saber si está afectado me pide que compruebe la insignia de vPro, así que comencé comprobando si mis sistemas admiten vPro.

Tengo una CPU Intel de escritorio (4790K) que de acuerdo con el Arca de Intel no tiene la función vPro, así como la Chipset Z97 . ¿Puedo suponer ahora que no estoy afectado por la vulnerabilidad en esa máquina?

En otro sistema tengo una CPU Xeon E3-1220v5 que tiene la función vPro según Arca de Intel . Sin embargo, el chipset C232 que estoy usando con él no tiene la función vPro. ¿Puedo suponer que estoy a salvo de la vulnerabilidad mencionada?

Ambos sistemas ejecutan Linux y BSD.

    
pregunta comfreak 02.05.2017 - 15:59
fuente

2 respuestas

9

Basado en Matthew Garrett - La vulnerabilidad de AMT remota de Intel , que se encuentra entre las más razonables (en términos de cantidad de hipérbole ) artículos que he visto hasta ahora, puede solo verse afectado si su sistema cumple los cuatro de los siguientes criterios:

  • Una CPU compatible con la tecnología de gestión activa
  • Un conjunto de chips de placa base compatible con AMT
  • Hardware de red admitido
  • El firmware de Management Engine contiene el firmware de AMT

No hay garantía si su sistema cumple con los cuatro criterios de que está afectado, pero si no cumple con los cuatro, entonces no puede verse afectado por la vulnerabilidad como se conoce actualmente.

Según su declaración de que los conjuntos de chips de ambos sistemas no son compatibles con vPro (de la cual AMT es una parte) , podemos concluir que ninguno cumple con los cuatro criterios y, por lo tanto, ninguno de los sistemas puede verse afectado.

Específicamente, para ser afectado, necesita tener vPro, pero tener solo hardware compatible con vPro no es suficiente para ser afectado; su sistema también necesita tener instalados los tornillos y tuercas AMT (por ejemplo, su firmware). Eso lo haría bajo cualquier circunstancia normal el proveedor del sistema.

Aparentemente, bajo Linux, puede verificar AMT mirando la salida lspci ; si lspci no muestra un controlador de comunicaciones con MEI en la descripción, entonces AMT no se está ejecutando y usted está seguro.

    
respondido por el a CVn 02.05.2017 - 16:11
fuente
4
  

¿Estoy afectado por la vulnerabilidad de ampliación de privilegios de Intel AMT / ISM / SBT?

nmap proporciona un nuevo sript: enlace para detectar la vulnerabilidad de AMT por escaneando tu sistema

En el sistema Linux, copie el script http-vuln-cve2017-5689.nse en su:

/usr/share/nmap/scripts/ luego actualice la base de datos nmap: nmap --script-updatedb

Para usarlo, ejecuta el siguiente comando: 

nmap -p 16992 --script http-vuln-cve2017-5689 Your_local_IP_system

Salida de muestra de la documentación de nmap: 

PORT      STATE SERVICE       REASON
16992/tcp open  amt-soap-http syn-ack
| http-vuln-cve2017-5689:
|   VULNERABLE:
|   Intel Active Management Technology INTEL-SA-00075 Authentication Bypass
|     State: VULNERABLE
|     IDs:  CVE:CVE-2017-5689  BID:98269
    
respondido por el GAD3R 08.05.2017 - 21:35
fuente

Lea otras preguntas en las etiquetas

Es un token de sesión suficiente para aplicaciones críticas ¿Se puede falsificar una huella digital del servidor SSH?