Vulnerabilidad de Intel AMT: ¿Cómo es una amenaza local?

7

INTEL-SA-00075 describe una vulnerabilidad en el firmware Intel AMT / ISM / SBT. Desde el boletín de Intels, esto es una amenaza tanto local como remota.

¿Cómo es una amenaza en el escenario local? Entiendo la amenaza a nivel de red, pero Intel afirma que esta vulnerabilidad sigue siendo una amenaza a nivel local.

De su boletín:

  

Un atacante local sin privilegios podría proporcionar características de capacidad de administración   obtener privilegios de red o sistemas locales sin privilegios en Intel   SKU de administración

No entiendo cómo esto representa una amenaza. Si el servicio no está provisto, entonces no hay amenaza, y para poder proveer el servicio, un usuario necesita privilegios administrativos (o necesita tener acceso físico). Si un usuario ya tiene privilegios de administrador, al explotar esto no se los compra (y el acceso físico implica privilegios de root de todos modos, entre otros, los ataques usb). ¿Me estoy perdiendo algo?

    
pregunta n00b 11.05.2017 - 16:23
fuente

2 respuestas

1

Como se explicó anteriormente en @polynomial: "Si el servicio [LMS] no se está ejecutando, no se puede explotar".

Sin embargo, en términos de un entorno local, sería más exacto afirmar: "Siempre que el servicio no se ejecute en la computadora de destino o en cualquier computadora con permisos para administrar esa computadora", entonces no hay ningún problema para ser tenido.

Por ejemplo, si el DC tiene LMS funcionando, pero la computadora del CEO no lo hizo, el DC podría verse comprometido, y la política de grupo podría usarse para instalar LMS en la computadora del CEO, y luego se pudo acceder a AMT.

    
respondido por el DrDamnit 12.08.2017 - 17:58
fuente
1

Creo que hay múltiples definiciones en conflicto de "provisioned". Aprovisionamiento AMT (acceso remoto); vs intel AMT service install / exec como sistema.

Un dispositivo puede estar ejecutando el software LMS, sin embargo, el hardware AMT no está configurado para el acceso remoto; Si el software LMS puede reconfigurar el hardware para habilitar el acceso remoto (y establecer credenciales arbitrarias), la vulnerabilidad permite la ejecución de código remoto a nivel de hardware.

Si el acceso al hardware ya está configurado / habilitado, el vector de software es irrelevante. (Ni siquiera necesita un sistema operativo para control remoto / acceso a disco virtual)

    
respondido por el CGretski 25.11.2017 - 00:02
fuente

Lea otras preguntas en las etiquetas