英特尔刚刚修复了一个隐藏七年之久的漏洞,但大部分电脑可能没法更新

原创 Yuntongxue 2017-05-03 19:07  阅读 1,736 次 评论 0 条

英特尔最近公布了一个主动管理技术(Active Management Technology,简称AMT)的严重漏洞,可以让攻击者直接远程控制无外部防火墙保护的电脑。该漏洞影响极其之大,涉及2010年以来生产的所有包含远程管理功能的英特尔芯片,以及搭载标准可管理(Intel Standard Manageability,简称ISM)和小企业技术(Intel Small Business Technology)固件的产品。
英特尔官方已经发布漏洞补丁,这篇文章是Google安全研究员@mjg59 对目前漏洞已知信息的汇总。

背景

很长时间里,英特尔芯片里都有一个管理引擎(Management Engine,简称ME)和一颗独立于主CPU和操作系统的小型微处理器。从代码到处理媒体DRM再到TPM的实现,都会在ME中运行。AMT是在ME上运行的另一件软件,而且它广泛使用了ME的功能。

Intel采用的主动管理技术(AMT)

AMT是指为IT部门提供管理客户端系统的方法。当启用AMT时,发送到目标机器16992或16993端口上的任何数据包将被重定向到ME并传递到AMT中,并且操作系统不会看到这些数据包。AMT提供了一个Web接口,允许您执行重新启动机器,提供远程安装媒体甚至在系统配置正确情况下获取远程控制台。访问AMT是需要密码的,这个漏洞的本质是绕过了密码。

远程管理

AMT有两种类型的远程控制台:仿真串行和全图形。仿真的串行控制台仅需要操作系统在该串行端口上运行控制台,而图形环境要求操作系统端的驱动程序设置为兼容的视频模式,但是与操作系统无关。然而,启用仿真串行支持的机器上,攻击者可能可以使用它来配置grub来启用串行控制台。在Linux下,远程图形控制台似乎是有问题的,但有些人还是会使用它,因此攻击者可能能够像您本身一样与图形控制台进行交互。

远程媒体控制

AMT支持远程提供ISO,以及在旧版本的AMT(11.0之前)中,这是一个模拟IDE控制器的形式。在11.0及更高版本中,采用仿真USB设备的形式。关于后者的好处是,如果有登录用户,则可能会自动安装任何提供这种方式的图像,这意味着可以使用格式不正确的文件系统在内核中执行任意代码。看起来非常有趣!

远程媒体的另一部分系统会很乐意启动它。因为攻击者可以将系统控制启动到自己的操作系统中,并随时查看驱动器内容。启动远程媒体后不允许他们以简单的方式绕过磁盘加密,所以你应该启用这一部分防止攻击者入侵。

漏洞危害

除非你已经确定启用了AMT,否则你可能不受影响。这个漏洞允许本地普通用户配置系统的驱动程序将以管理员权限进行安装,因此除非您没有安装系统,那么唯一可以执行任何操作的本地用户就是管理员,否则您的系统面临着巨大的危险。如果确实有启用,那么您可能已经成为了受害者。

漏洞影响范围

AMT、ISM以及Intel小型企业技术版本固件版本6.x、7.x、8.x、9.x、10 .x、11.0、11.5和11.6,都可以允许普通权限攻击者控制这些产品,并且提供的可管理性功能。不过基于Intel的消费者的个人计算机上不存在此漏洞。
使用Shodan搜索引擎的查询到不超过7,000台服务器端口16992或16993打开。这些端口打开是远程攻击的一个要求。这些服务器数量仍然是潜在的巨大威胁,因为数万台计算机可以连接到其中一些主机。在其网络中启用了LMS和AMT的企业应该优先安装补丁。

如何知道我是否启用?

是的,这个确认起来很麻烦。首先,您应该确认你的系统是否支持AMT?AMT需要下面这几件事情:

版权声明: 本文为云小哥博客原创文章,欢迎转载。转载请务必注明出处! (参考格式:本文转自云小哥博客,原文地址:https://yuntongxue.cn/567/
相关文章 关键词:

发表评论


表情