Уязвимость платформ Intel. Рекомендации экспертов «Информзащиты»

07.05.2017 11:45 1
1 мая 2017г., компанией Intel была опубликована информация о критической
уязвимости (INTEL-SA-00075/ CVE-2017-5689) платформ Intel, имеющих
функции Intel Active Management Technology (AMT), Intel Standard
Manageability (ISM) и Intel Small Business Technology (SBT).

Компоненты Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) и Intel Small Business Technology (SBT) являются частью технологии Intel vPro, предназначенной для удаленного управления компьютером без использования средств ОС. Технология основана на специализированном чипе Intel Management Engine, функционирующем независимо от ОС и обладающим собственной прошивкой, независимым доступом к сетевым интерфейсам и прямым доступом к оперативной памяти.

Компонент Intel Active Management Technology (AMT) обеспечивает веб-интерфейс удаленного управления и доступ к таким функциям как:

  • удаленная консоль управления;
  • диагностика и мониторинг рабочей станции;
  • загрузка ОС с удаленного носителя.

Уязвимость позволяет злоумышленнику получить привилегированный доступ к веб-интерфейсу управления Active Management Technology (AMT).

Уязвимости актуальна для чипсетов Intel выпускаемыx с 2010 года, включая последние поколения Kaby Lake Core, с прошивками ME/AMT версий 6.х - 11.6

Команда экспертов «Информзащиты» проводит исследование данной уязвимости. Согласно информации Intel, возможные векторы атак могут выглядеть следующим образом:

Векторы атаки:

  • Удаленная эксплуатация. Злоумышленник может получить привилегированный удаленный доступ к веб-интерфейсу AMT/ISM.
  • Локальная эксплуатация. Злоумышленник, имея непривилегированный локальный доступ к системе, может повысить привилегии посредством развертывания и использования функций AMT/ISM/SBT.
  • Обновления безопасности

Компания Intel выпустила патч безопасности, закрывающий данную уязвимость. Но для установки данного патча необходимо, чтобы производитель оборудования (материнской платы, ноутбука, рабочей станции) интегрировал данный патч в новую версию прошивки. Для некоторых, уже неподдерживаемых систем, новые версии прошивок возможно не будут выпущены никогда.

Компания «Информзащита» рекомендует следующий перечень первоочередных действий, направленных на нейтрализацию данной угрозы:

  1. В качестве первичного экспресс-анализа, произвести сканирование сети на предмет наличия открытых портов TCP:16992-16995, 623, 664 на рабочих станциях, серверах и других узлах сети.
  2. Дополнительно необходимо проверить актуальность уязвимости для всех рабочих станций, серверов и других узлов сети, используя инструмент «INTEL-SA-00075 Discovery Tool», либо другие методы в соответствии с  документом «INTEL-SA-00075 Detection Guide» https://downloadcenter.intel.com/download/26755
  3. Проверить доступность на сайте производителя вашего оборудования новой версии прошивки, исправляющую уязвимость (INTEL-SA-00075/ CVE-2017-5689). Установить в случае доступности.
  4. Если новая версия прошивки недоступна, отключить функции AMT, ISM, SBM следуя руководству «INTEL-SA-00075 Mitigation Guide» https://downloadcenter.intel.com/download/26754.
  5. Если отключение данных функций невозможно – ограничить доступ к данным машинам на сетевом уровне и/или заблокировать удаленный доступ к портам TCP:16992-16995, 623, 664. Следует иметь в виду, что это снизит риск только удаленной эксплуатации уязвимости.

В настоящий момент сервис Shodan обнаруживает более 6,3 тыс. сетевых узлов с открытыми портами TCP:16992, TCP:16993. Из них в России таких узлов порядка 280.

Следующая новость
Предыдущая новость

СК завершил расследование дела об обналичивании более 9 млрд рублей Коротко и по существу. А. Миллер доложил В. Путину о работе Газпрома по газификации регионов и о текущей деятельности компании BINO соберет раунд на $650 тысяч во главе со Starta Capital Ожидаемо, но печально. Евросоюз расширил санкции в отношении России из-за скандала вокруг Siemens История каперов и их связь со спортом

Лента публикаций