英特尔补丁远程劫持漏洞潜伏在芯片中7年

2018-06-17 8

Intel发布的建议以及发现严重缺陷的研究人员表示,自2010年以来,Intel处理器随附的远端管理功能包含严重缺陷,让攻击者完全掌控在易受攻击网路上执行的电脑。

Intel已针对此漏洞发布修补程序,该漏洞存在于芯片制造商的主动管理技术、Intel小型企业技术和Intel标准可管理性中。购买运行博锐处理器的计算机的企业客户使用这些服务来远程管理大量计算机。这个错误不会影响在个人电脑上运行的芯片。芯片制造商已将漏洞评定为严重漏洞,并建议易受攻击的客户安装固件修补程序。英特尔官员在周一发布的公司公告中写道:

英特尔主动管理技术( AMT )、英特尔标准可管理性( ISM )和英特尔小企业技术版本固件版本6.x、7.x、8.x 9.x、10.x、11.0、11.5和11.6中存在特权漏洞升级,这些漏洞可让无特权的攻击者控制这些产品提供的可管理性功能。基于英特尔的个人电脑上不存在此漏洞。

可以通过两种方式访问此漏洞。请注意,英特尔小企业技术不容易受到第一个问题的影响。

未经授权的网络攻击者可以获得系统权限来调配英特尔可管理性SKU :英特尔主动管理技术( AMT )和英特尔标准可管理性( ISM )。cvss 3 9.8 Critical / AV : N / AC : L / PR : N / UI : N / S : U / C : H / I : H / A : HAn未经授权的本地攻击者可以调配获得未经授权的网络或本地系统权限的英特尔可管理性SKU :英特尔主动管理技术( AMT )、英特尔标准可管理性( ISM )和英特尔小企业技术( SBT )。6之前或11.6之后的版本不受影响。

安全专家周一花了大部分时间评估该漏洞造成的现实威胁。当天早些时候发表的一篇文章声称,从尼赫莱姆到卡巴湖[的每一个英特尔平台都有一个可远程利用的安全漏洞,多年来一直没有固定下来。然而,分析Intel建议的研究人员表示,只有在网路内启用并布建Intel AMT服务时,这项缺陷才有可能在网路上被利用。

其他研究人员表示,非特权网络攻击者成功的门槛可能较低,因为基于Windows的称为本地可管理性服务的软件也通过操作系统的IP地址公开了易受攻击的AMT服务。Atredis Partners研发副总裁HD Moore告诉Ars说:「如果LMS服务正在运作,这个问题可以透过主机作业系统的IP位址远端利用。」暴露TCP端口16992或16993并激活AMT的服务器可以通过AMT的独立IP地址进行攻击,或者在启用LMS的情况下,主机操作系统 IP地址可以进行攻击。访问端口并了解漏洞的攻击者可以获得对AMT web界面的等同身份验证访问,这反过来又会导致在操作系统上执行任意代码。

Moore说,使用Shodan计算机搜索引擎进行的查询检测到不到7000台服务器显示它们有16992或16993个开放端口。开放这些端口是远程攻击的要求。这个数量的服务器仍然是一个潜在的巨大威胁,因为成千上万台计算机可以连接到其中的一些主机。网络中启用了LMS和AMT的企业应优先安装补丁程序。那些不能立即安装更新的组织应该遵循这些变通说明。当TCP端口623在机器上打开时,

也可以进行未经授权的网络访问攻击。目前,Shodan没有显示该端口的任何数据。被誉为发现漏洞的安全公司Embedi的上述链接博客文章说: 在没有英特尔AMT支持的情况下,也有可能对英特尔系统进行攻击。

Intel管理引擎的缺陷(包含主动管理技术、Intel小型企业技术和Intel标准可管理性的技术)使得攻击者能够登入易受攻击的机器硬体,并暗中执行管理员所享有的相同控制,包括安装新程式。此访问未被记录因为AMT可以直接访问计算机的网络硬件。启用AMT后,所有网络数据包都将重定向到PC的ME,并从那里重定向到AM。数据包完全绕过操作系统。Embedi说,从2010年开始,一些但不是所有的英特尔芯片组都提供了易受攻击的管理功能。

如Intel的建议所指出,第二个不太严重的威胁是,一旦攻击者已经拥有低权限访问权限,本地权限就会升级。虽然没有第一种情况严重,但这种威胁仍可能使攻击者更容易控制网络中的目标计算机。弱势组织应尽快修补。开发者马修·加勒特在这里有更多关于漏洞的信息。

此帖子于2017年2月5日加利福尼亚时间上午8 : 15更新,以更正有关开发要求的详细信息。当天晚些时候进行了多次更新,以添加新的可用详细信息。