CH azonosító
CH-12564Angol cím
Intel Active Management Technology (AMT) vulnerabilityFelfedezés dátuma
2015.08.28.Súlyosság
MagasÖsszefoglaló
Az Intel egy integrált platformon keresztül nyújt külső szervezői és biztonsági alkalmazásokat a különféle hálózatok felé, ezt Active Management Technology-nak (AMT) nevezik. Az AMT a távkarbantartás elvégzéséhez csatlakozik a PC-khez a beállítások végrehajtása érdekében.
Egy újonnan felállított rendszer nem biztonságos, mert egy alapértelmezett jelszóval rendelkezik. A rosszindulatú helyi támadó egy előre kialakított USB-eszköz segítségével kihasználhatja az alapértelmezett jelszót az érintett rendszeren és az AMT-n keresztül újra konfigurálhatja a PC-t.
Leírás
Minden olyan gyártó érintett lehet, aki az Intel AMT-vel ellátott lapkakészletét használja. Mivel az AMT-t tartalmazó Intel Management Engine csak vállalatok számára érhető el, normális esetben az egyéni felhasználókat nem érinti ez a sérülékenység.
A támadónak néhány másodperc is elegendő, hogy hozzáférjen a sérülékeny rendszerhez, csatlakoztassa az előre kialakított USB eszközt és átvegye a rendszer feletti irányítást. A támadás során arra törekszik, hogy később is képes legyen távolról vezérelni a rendszert, beleértve az adatok olvasását és módosítását. Az operációs rendszer által alkalmazott biztonsági intézkedések nem tudják megakadályozni a támadást, a felismerése is csak bizonyos körülmények esetén lehetséges.
A sérülékenység különösen a mobil rendszereknél releváns, mivel ezek általában nem tartoznak a tulajdonos folyamatos ellenőrzése alá, így megvalósíthatóvá válik a rendszerhez való illetéktelen hozzáférés.
Az alábbi biztonsági intézkedések nem biztosítanak teljes védelmet a biztonsági rés kihasználhatósága ellen:
- Az AMT letiltása a BIOS-ban.
- Az USB eszközökről történő bootolás letiltása.
- A BIOS jelszavakkal történő védelme.
Javasolt intézkedések:
Az AMT használata előtt szükséges annak újrakonfigurálása, egy új, biztonságos jelszó beállításával. Ezután az AMT alrendszerét le lehet kapcsolni (a BIOS beállításokkal). Fontos, hogy pusztán a rendszer kikapcsolása új jelszó megadása nélkül nem elégséges.
Az Intel lapkakészletével ellátott egyes modellekben ez az ellenintézkedés nem hatékony. Az AMT deaktiválása eltávolítja a beállított jelszót, és újraindítja az alapértelmezett jelszót. Ezt minden esetben le kell ellenőrizni. A jelszó beállítását és az AMT kikapcsolását minden új eszköz beüzemelésekor el kell végezni.
Detektálás:
A hálózat monitorozása képes azonosítani az AMT adatkommunikációját. Az azonosításnak külsőnek kell lennie, mert az AMT adatkommunikáció nem továbbítódik az operációs rendszer felé.
Az AMT a következő portokat használja:
- 16992 -16995: Intel(R) AMT HTTP(S) // Intel(R) AMT Redirection/TCP / TLS
- 623: ASF Remote Management and Control Protocol (ASF-RMCP)
- 664: DMTF out-of-band secure web services management protocol // ASF Secure Remote Management and Control Protocol (ASF-RMCP)
- 5900: Standard VNC Port
Az AMT saját IP címet használ, amely különbözik a PC által használt IP címtől. Alapesetben DHCP protokollt használnak, de az IP címet közvetlenül is ki lehet osztani.
Megoldás
Lásd: “Javasolt intézkedések”
Támadás típusa
Manipulation of dataPrivilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.intel.com
Gyártói referencia: software.intel.com
Egyéb referencia: www.cert-bund.de
Egyéb referencia: www.heise.de
Egyéb referencia: www.heise.de