|
|
[ Ivan Dimkovic @ 02.05.2017. 09:31 ] @
|
| https://www.theregister.co.uk/...01/intel_amt_me_vulnerability/
Citat:
Red alert! Intel patches remote execution hole that's been hidden in biz, server chips since 2008
For the past nine years, millions of Intel workstation and server chips have harbored a security flaw that can be potentially exploited to remotely control and infect systems with spyware.
Specifically, the bug is in Intel's Active Management Technology (AMT), Standard Manageability (ISM) and Small Business Technology (SBT) firmware versions 6 to 11.6. According to Chipzilla, the security hole allows "an unprivileged attacker to gain control of the manageability features provided by these products."
Uzevsi u obzir kompleksnost cele stvari i nerafinisan pristup hardveru koji ME koprocesor ima, bilo je samo pitanje vremena kada ce ovo da se desi.
Suska se da je ovaj problem bio poznat >godinama< - pitanje je sta je Intel nateralo da se patchuju sad, moje misljenje je da ce uskoro neko da leak-uje da neko, mozda neka troslovna agencija, koristi ovaj vuln i sada kada vuln dodje u ruke obicnih kriminalaca stvari postaju prilicno gadne.
Za neupucene, Intel Management Engine je poseban procesor koji trci svoj RTOS i ima vrlo sirok pristup hardveru: moze da cita memoriju, prica sa Intel mreznim adapterima, analizira pakete, patchuje sistem, pali i gasi sistem itd... ne treba mu cak ni da racunar bude ukljucen, dovoljno je samo da maticna ploca pod naponom. Intel valja dodatne "enterprise" tehnologije bazirane na ME-u: AMT (Active Management Technology) koji omogucava remote "bare metal" administraciju masina cak i kada je OS ili boot disk onesposobljen. AMT je ukljucen samo u skupljim Intel procesorima, ali svi danas imaju ME.
A, da, jos od pre nekoliko verzija procesora ME je obavezan, tj. Intel je u ME spustio i neke funkcije odrzavanja procesora tako da je prakticno nemoguce kompletno otarasiti se ME-a osim u specijalnim slucajevima gde je moguce korumpirati deo ME firmware-a bez da sistem detektuje to i ugasi racunar posle 30 minuta, ali i tad se ME CPU bootuje i trci bar minimalni deo funkcija.
Dobra vest je da su samo "enterprise" verzije (sa ukljucenom AMT tehnologijom) ranjive od spolja. Masine sa "samo" ME-om su ranjive unutar lokalnog LAN-a (ako je masina prikacena preko Intel adaptera).
Fizicka izolacija kriticnih masina od Interneta i fizicka sigurnost objekata gde su serveri je jedino resenje protiv ovakvih gluposti.
|
[ Ivan Dimkovic @ 02.05.2017. 09:47 ] @
Inace Lenovo "enterprise" laptop masine (stari Wxxx, novi Pxx) imaju "Permanenty Disable" opciju za AMT.
Interesantno, u ranijim verzijama firmware-a je aktiviranje ove opcije izazivalo boot-loop, sto >mozda< znaci da Lenovo zaista brise AMT firmware sa flash-a kada se aktivira ova opcija :)
Medjutim cak ni brisanje AMT BLOB-ova iz ME firmware-a ne uklanja kompletan ME naravno i niko osim Intela i onih sa kojima je Intel podelio te informacije ne zna sta je jos otvoreno u ME-u i cemu moze da se pristupi preko mreznih paketa.
@edit, evo i zvanicnih informacija:
https://security-center.intel....-SA-00075&languageid=en-fr
Citat:
Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege
Intel ID: INTEL-SA-00075
Product family: Intel® Active Management Technology, Intel® Small Business Technology, and Intel® Standard Manageability
Impact of vulnerability: Elevation of Privilege
Severity rating: Critical
Original release: May 01, 2017
Last revised: May 01, 2017
Summary:
There is an escalation of privilege vulnerability in Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), and Intel® Small Business Technology versions firmware versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5, and 11.6 that can allow an unprivileged attacker to gain control of the manageability features provided by these products. This vulnerability does not exist on Intel-based consumer PCs.
Description:
There are two ways this vulnerability may be accessed please note that Intel® Small Business Technology is not vulnerable to the first issue.
An unprivileged network attacker could gain system privileges to provisioned Intel manageability SKUs: Intel® Active Management Technology (AMT) and Intel® Standard Manageability (ISM).
CVSSv3 9.8 Critical /AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
An unprivileged local attacker could provision manageability features gaining unprivileged network or local system privileges on Intel manageability SKUs: Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), and Intel® Small Business Technology (SBT).
[ tuxserbia @ 02.05.2017. 10:02 ] @
Baš jutros pročitao. Smejao sam se pet minuta. Čuj, mi ćemo da vas štitimo. Mada, možda ovakva vest skrene pažnju na core/Libre boot.
[ Ivan Dimkovic @ 02.05.2017. 10:28 ] @
Najgori scenario je masovna eksploatacija ovog problema posto patch-ovanje zahteva da OEM-i izdaju novi firmware.
To znaci da ce gomila masina neko vreme (mozda i zauvek) ostati sa ranjivim ME firmware-om. Verovatno ce top OEM-i patchovati sve sisteme ali obavestiti svoje Tier-1 korisnike ali sa sa masom white-label box-ova, polovnih sistema, malih firmi koje svakako nece zvati telefonom da ih obaveste da moraju da patchuju BIOS-e i sl?
E, sad, taj najgori scenario mozda bude nesto najbolje sto se desava industriji posto bi verovatno naterao bar neke da se zamisle jako dobro oko ovoga.
Ili to ili ce se morati cekati neka IoT katastrofa koja ce kostati zivote pa da cela stvar postane dovoljno ozbiljna da se regulise zakonski.
[ xtraya @ 02.05.2017. 12:09 ] @
Ne znam samo da li su se ikako pravno zastitili oko AMT posto ovo potpada pod ono "trazili ste gledajte" ... Da nije ovo iz nedavnih leak-ova izaslo?
[ Ivan Dimkovic @ 02.05.2017. 12:20 ] @
Nije iz nedavnih ali mozda iz nekih koji ce uskoro da se dese, ili je rupu otkrio neki veliki OEM/kupac i naterao ih da je fixuju, mada u tom slucaju bi verovatno ovo zavrsilo u nekom errata dokumentu a ne ovako javno. Ovo vise smrdi na proaktivnu kontrolu stete koja ce tek da nastupi.
Sto se pravne zastite tice, ako stvarno krene s*anje i globalni hakeraj PC-jeva sa AMT-om sumnjam da ce im bilo sta pomoci.
[ xtraya @ 02.05.2017. 13:09 ] @
Citat: Ovo vise smrdi na proaktivnu kontrolu stete koja ce tek da nastupi.
Takozvani prvi korak kriznog menadzeraja , sad kad krenu da potplacuju forume/sajtove i medije da umeksavaju pricu / autocenzurisu i iskrivljuju sustinu AMT-a (dobro poznata). [ Ivan Dimkovic @ 02.05.2017. 13:29 ] @
Pazi, mogu oni da potplacuju koga god hoce, ali ako 'akeri mogu i krenu ovo masovno da koriste cela stvar ide prvo u masovne medije a u gotovo isto vreme na sudove globalno. Tu nece pomoci potkupljeni sajtovi.
Samo je pitanje koliko je cela stvar iskoristiva i koliko dugo ce trebati blackhat-ovima da od toga naprave unosan biznis.
Ovde nisu potencijalno osteceni Joe Sixpack, Otto Normalverbraucher i ekvivalentni vec korporacije sa pristupom potrebnoj kolicini advokata da i Intel uviju u crno.
[ sniper_ @ 02.05.2017. 18:21 ] @
O ovome je naš dragi kolega Sundance/Cynique pisao prije 10 godina http://istambuk.blogspot.com/.
[ nkrgovic @ 03.05.2017. 08:37 ] @
Ne znam da li neko prati QubesOS, ali Joanna je o ovome pisala pre 2 godine :
https://blog.invisiblethings.org/papers/2015/x86_harmful.pdf
A ima i jos dosta dobrih tekstova na ovu temu. Nije ovo novo, nije ni blizu novo.... Prva spominjanja su recimo 2009-ta, tako nesto, da ovo postoji "in the wild" negde, vPro je izasao sa Core2Duo, tipa 2006-te. Moj neki guestimate je da ce ovo da se objavi kao deo Vault7, pa su dali intelu vremena da to ipak pecuje.... [ Nedeljko @ 03.05.2017. 16:18 ] @
Pa, ne može niko da ogovara za to što je izvršavao naloge institucija SAD.
[ Ivan Dimkovic @ 03.05.2017. 19:51 ] @
Sumnjam da bi se troslovne institucije tako kompromitovale. A nema ni potrebe.
"Nalog" za AMT je dosao od corporate kupaca koji su hteli da lik iz Hyderabada ili moze da hardverski resetuje ili re-imageuje OS na farmi servera u Kanzasu ili globalnoj floti laptopova.
Finalni rezultat je, naravno, da iz JavaScript-a imas daleko vece cak i od OS sistemskih privilegija, tako da su troslovne agencije samo trebale da sacekaju da cela stvar izadje na trziste, prakticno je garantovano da ima rupetine koje je moguce iskoristiti za posao.
Ista stvar i sa IPMI-jem i sl. Hoces daljinski pristup tog nivoa, prakticno si otvorio Pandorinu kutiju.
[ nkrgovic @ 03.05.2017. 21:42 ] @
Prvo, i te kako moze da odgovara. Lepo je Ivan napisao gore, zamisli da neko zloupotrebi i upadne u npr. Bayer, pa krvi bi mu se napili njihovi advokati. Drugo i bitnije: pogledaj Vault7 malo. Lepo se vidi sta je i kako radjeno. Vidi se da nije bilo pomoci od strane vec da su sami "busili", ali se isto tako vidi da je odradjeno jako profesionalno.
Jednostavno, Intel godinama insistira na tom vPro i remote management, jer to neko hoce da plati. Godinama svi znamo da ce im se to obiti o glavu - i evo, izgleda da ce da i bude tako. Ta prica da ce neko da napravi takav low-level pristup uz jedinu zastitu u vidu kriptografije i bez update-a je bila i ostala busna. Ovakve stvari zahtevaju redovno odrzavanje i, jako pozeljno, peer review. Intel se trudio da zastiti corporate interese i sad je mnogo nas u problemu.....
[ Ivan Dimkovic @ 04.05.2017. 09:17 ] @
Cela stvar je verovatno pocela integracijom ME koprocesora na platformu zbog AMT-a, a onda posto je kolo vec tu i moze da radi puno korisnih stvari su ostali timovi poceli da ga koriste za svoje stvari. Rezultat je da je danas ME integralni deo platforme koji je nemoguce kompletno ukloniti bez da procesor prestane da radi po specifikaciji. Pretpostavljam i da su AMT delovi aktivni cak i na platformama koje nemaju AMT vidljiv klijentima zato sto su jako korisni za debagovanje.
Takodje, stvar biva korisna kao jos jedna barijera u sprecavanju drugih da se slucajno ne usude da prave cipset za Intel procesore (mozda mozes da napravis hardver ali Intel nije obavezan da ti licencira ME firmware :-).
Danas je ideja pravljenja 3rd party Intel cipseta potpuno smesna pomisao ali pre 10 godina je to bila i dalje realna mogucnost (ko se seca NVIDIA nForce cipseta za Intel platforme? :-) i tada je to bio rizik za Intelovu kontrolu platforme i profit koji je Intel sigurno hteo da neutralise na svaki moguci nacin.
Drugim recima: feature creep zbog zahteva korisnika i Intel-ovih timova i menadzera.
Zvuci poznato? Trebalo bi, CPU industrija radi isto sto i skoro svaka druga i pate od istih problema.
[ Nedeljko @ 04.05.2017. 11:03 ] @
Znaš kako, ne može pecifikacija biti toliko narušena da CPU ne može da izvršava normalan sistemski i aplikativni softver. Druga stvar je što onda u teoriji nemaš više 100% kompatibilnost unazad.
[ Ivan Dimkovic @ 04.05.2017. 11:41 ] @
@Nedeljko,
Nisam uopste siguran da najnoviji Intel procesori (Skylake & Co.) uopste mogu da se korektno inicijalizuju bez bar osnovnog ME-a. ME je aktivan >pre< nego sto CPU izadje iz reseta i moze da radi validaciju i samog platform firmware-a.
Mozda i moze da se "nabudzi" ali nikoga od OEM-a tako nesto ne zanima posto je trziste za tako nesto mizerno. Plus, cela stvar moze da propadne sa novom revizijom procesora.
Coreboot ekipa je uspela da eliminise dosta ME ROM-a ali je i dalje neophodno da osnovni moduli ostanu kako bi se sistem boot-ovao.
[ Shadowed @ 04.05.2017. 12:59 ] @
Da li AMD-ovi procesori imaju neki ekvivalent ME-a?
[ Ivan Dimkovic @ 04.05.2017. 13:07 ] @
Naravno da imaju, AMD PSP :-)
http://www.amd.com/en-us/innov...software-technologies/security
Ako bas neces ME/PSP a treba ti x86, jedino resenje je da kupis neku matoru platformu - AMD od cca. pre 2009-te ili Intel pre 2006-te godine.
[ Nedeljko @ 05.05.2017. 04:25 ] @
Može da se napravi CPU bez toga, kompatibilan u sasvim dovoljnoj meri. Pitanje je samo volje.
[ Space Beer @ 05.05.2017. 05:14 ] @
Tu je VIA :)
https://translate.google.sk/tr...s6%2Fhtml%2F06%2Fn-636706.html
Naravno, u Kineze imamo puno poverenje
Videćemo kako će ići izvršavanje Win32 programa na ARM-u, što MS i Qualcomm guraju, možda je to rešenje za ovakve stvari. Mada ne bih ja verovao ni njima :d [ Nedeljko @ 05.05.2017. 06:23 ] @
Zato Putin pravi ruske procesore za namenske potrebe.
[ nkrgovic @ 05.05.2017. 08:51 ] @
Brate, taj Putin... sad i Verilog zna da radi.... Sta ti je covek, gromada!
BTW, ja sam zagledao ovo vec neko vreme:
https://www.raptorengineering.com/TALOS/prerelease.php
malo i pojasnjenja:
http://www.phoronix.com/scan.p...em=talos-workstation&num=1
[ Ivan Dimkovic @ 05.05.2017. 09:37 ] @
@Space Beer,
Puno srece sa modernim ARM cipova bez TrustZone-a i proprietary bootloadera koji se inivijalizuju sa nekog malog "radio" procesora.
[ Ivan Dimkovic @ 07.05.2017. 11:35 ] @
Btw, Lenovo W541 laptop - cak i ako se u BIOS-u uradi "Permanently disable" za AMT, Intel-ova alatka za detekciju bug-a kaze da je sistem je i dalje supalj:
Dakle, bez Lenovo saradnje ovu rupetinu je nemoguce skroz eliminisati.
https://support.lenovo.com/nl/en/product_security/len-14963
Target za fix: 17. Jun...
Dakle, h4xori imaju vise od mesec dana da naprave haos.
Postavlja se pitanje WTF "permanently disable" opcija u BIOS-u uopste i radi... verovatno setuje neki flag na 0 :( [ Ivan Dimkovic @ 07.05.2017. 19:58 ] @
https://www.theregister.co.uk/...5/05/intel_amt_remote_exploit/
Citat:
How to remote hijack computers using Intel's insecure chips: Just use an empty login string
Code dive You can remotely commandeer and control computers that use vulnerable Intel chipsets by sending them empty authentication strings.
You read that right. When you're expected to send a password hash, you send zero bytes. Nothing. Nada. And you'll be rewarded with powerful low-level access to a vulnerable box's hardware from across the network – or across the internet if the management interface faces the public web.
I... sampionski kod:
Citat:
If you poke around inside Intel's firmware, you'll find this gem that lies at the heart of the matter – machine code that decompiles into C that looks pretty much like this:
Code:
if(strncmp(computed_response, user_response, response_length))
deny_access();
Jeza..
Vise detalja:
https://www.embedi.com/files/w...apers/Silent-Bob-is-Silent.pdf
Kapiram da ce Intel uloziti silne resurse da sledeca verzija AMT-a bude potpuno kriptovan binarni blob... da se bar ne vidi blam.
[ Space Beer @ 08.05.2017. 07:25 ] @
Genijalno :D Koliko sam shvatio, pogođeni su samo Q čipsetovi, tj. poslovni korisnici? Mi obični nemamo razloga za brigu, bar za sada?
[ Ivan Dimkovic @ 09.05.2017. 15:05 ] @
Q i neki C cipseti, koji obicno jesu "poslovni" ali ima masa masina koje zavrse i kod krajnjih korisnika.
[ stopnarkomaniji @ 17.05.2017. 13:22 ] @
Imam neki laptop Lenovo sa Intelom.
Pokazuje neke simptome sllčne ovde opisanim.
Ne može da se uključi
nego kad odstoji par nedelja bez napajanja
onda proradi na 20 minuta i naprasno se ugasi.
Zato pretpostavljam ako je neki "uljez" da se uvukao u BIOS ili tako negde.
Da li neko ima ideju kako doskočiti?
[ valjan @ 17.05.2017. 14:15 ] @
To više zvuči kao neki hladan lem koji kad se laptop zagreje jednostavno izgubi kontakt i laptop prestane da radi, pa kad se dovoljno ohladi kontakt se uspostavi i opet sve radi. Ili što bi rekao Branko Kockica "sunce vrelo širi telo, zima bela skuplja tela" ;-) Dakle, ništa softver, izgleda kao čist hardverski problem...
[ stopnarkomaniji @ 17.05.2017. 17:30 ] @
A tako?
Stavio sam u friz pa ću da vidim kad postigne 0 stepeni.
Srećom da je ona komora veličine ko da su znali šta ću trpati unutra :)
[ valjan @ 17.05.2017. 20:24 ] @
Pazi samo na kondenzovanje vlage kad ga izvadiš odande ;-)
[ stopnarkomaniji @ 17.05.2017. 22:03 ] @
Ma imam iskustva sa tim :)
Medjutim ovo čudo i nakon "hladnog tuša" ne radi.
Ipak mislim da ima nekih problema sa biosom.
Mada ni hladan lem ne isključujem. Samo što hladan lem teže dolazi do izražaja ako je laptop fiksiran kao što je bio slučaj kod mene.
Ok, da ne ometam temu.
Poz.
[ Ivan Dimkovic @ 21.09.2017. 13:30 ] @
Postaje sve bolje i bolje:
Prezentacija u decembru:
https://www.blackhat.com/eu-17...n-intel-management-engine-8668
Citat:
How to Hack a Turned-Off Computer, or Running Unsigned Code in Intel Management Engine
Unfortunately, this changing did not go without errors. In a subsystem change that will be detailed in the talk of Intel ME version 11+, a vulnerability was found. It allows an attacker of the machine to run unsigned code in PCH on any motherboard via Skylake+. The main system can remain functional, so the user may not even suspect that his or her computer now has malware resistant to reinstalling of the OS and updating BIOS. Running your own code on ME gives unlimited possibilities for researchers, because it allows exploring the system in dynamics.
Ako stvarno mogu da nateraju ME podsistem da trci nepotpisan kod bez nekih velikih vratolomija, mislim da ce to napraviti poveci problem kako Intel-u tako i njihovim OEM kupcima i verovatno ce doci do zahteva od strane kupaca da se cela stvar moze iskljuciti, potpuno.
Jedna dobra vest za one koji su propustili, izgleda da ME ima "kill switch" koji se koristi u 'High Assurance' programu (za drzavne sluzbe) i koji su istrazivaci uspeli da pronadju:
http://blog.ptsecurity.com/2017/08/disabling-intel-me.html
Na zalost, ovo nije bas neko siroko primenjivo resenje posto zahteva a) hakovanje opreme, b) moze da dovede do brick-ovanja sistema i c) nije podrzana konfiguracija od strane proizvodjaca.
[ Ivan Dimkovic @ 21.09.2017. 13:44 ] @
Btw, evo sta se desava kad se u ME-u ukljuci "HAP" mod:
http://blog.ptsecurity.com/2017/08/disabling-intel-me.html
Citat:
Binary analysis of Intel ME firmware, as described in this paper.
If we remove some critical ME modules and enable HAP mode, Intel ME does not crash. This proves that HAP disables ME at an early stage.
We are quite sure that Intel ME is unable to exit this mode because we have not found code capable of doing so in the RBE, KERNEL, and SYSLIB modules.
Zanimljivo je da MEInfo ovakvu konfiguraciju zove "Alt Disable Mode".
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|