Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u

[es] :: Advocacy :: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u
(TOP topic, by flighter_022)
Strane: 1 2

[ Pregleda: 8234 | Odgovora: 33 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.ip.telfort.nl.



+7169 Profil

icon I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u02.05.2017. u 09:31 - pre 84 meseci
https://www.theregister.co.uk/...01/intel_amt_me_vulnerability/

Citat:

Red alert! Intel patches remote execution hole that's been hidden in biz, server chips since 2008

For the past nine years, millions of Intel workstation and server chips have harbored a security flaw that can be potentially exploited to remotely control and infect systems with spyware.

Specifically, the bug is in Intel's Active Management Technology (AMT), Standard Manageability (ISM) and Small Business Technology (SBT) firmware versions 6 to 11.6. According to Chipzilla, the security hole allows "an unprivileged attacker to gain control of the manageability features provided by these products."


Uzevsi u obzir kompleksnost cele stvari i nerafinisan pristup hardveru koji ME koprocesor ima, bilo je samo pitanje vremena kada ce ovo da se desi.

Suska se da je ovaj problem bio poznat >godinama< - pitanje je sta je Intel nateralo da se patchuju sad, moje misljenje je da ce uskoro neko da leak-uje da neko, mozda neka troslovna agencija, koristi ovaj vuln i sada kada vuln dodje u ruke obicnih kriminalaca stvari postaju prilicno gadne.

Za neupucene, Intel Management Engine je poseban procesor koji trci svoj RTOS i ima vrlo sirok pristup hardveru: moze da cita memoriju, prica sa Intel mreznim adapterima, analizira pakete, patchuje sistem, pali i gasi sistem itd... ne treba mu cak ni da racunar bude ukljucen, dovoljno je samo da maticna ploca pod naponom. Intel valja dodatne "enterprise" tehnologije bazirane na ME-u: AMT (Active Management Technology) koji omogucava remote "bare metal" administraciju masina cak i kada je OS ili boot disk onesposobljen. AMT je ukljucen samo u skupljim Intel procesorima, ali svi danas imaju ME.

A, da, jos od pre nekoliko verzija procesora ME je obavezan, tj. Intel je u ME spustio i neke funkcije odrzavanja procesora tako da je prakticno nemoguce kompletno otarasiti se ME-a osim u specijalnim slucajevima gde je moguce korumpirati deo ME firmware-a bez da sistem detektuje to i ugasi racunar posle 30 minuta, ali i tad se ME CPU bootuje i trci bar minimalni deo funkcija.

Dobra vest je da su samo "enterprise" verzije (sa ukljucenom AMT tehnologijom) ranjive od spolja. Masine sa "samo" ME-om su ranjive unutar lokalnog LAN-a (ako je masina prikacena preko Intel adaptera).

Fizicka izolacija kriticnih masina od Interneta i fizicka sigurnost objekata gde su serveri je jedino resenje protiv ovakvih gluposti.

DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.ip.telfort.nl.



+7169 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u02.05.2017. u 09:47 - pre 84 meseci
Inace Lenovo "enterprise" laptop masine (stari Wxxx, novi Pxx) imaju "Permanenty Disable" opciju za AMT.

Interesantno, u ranijim verzijama firmware-a je aktiviranje ove opcije izazivalo boot-loop, sto >mozda< znaci da Lenovo zaista brise AMT firmware sa flash-a kada se aktivira ova opcija :)

Medjutim cak ni brisanje AMT BLOB-ova iz ME firmware-a ne uklanja kompletan ME naravno i niko osim Intela i onih sa kojima je Intel podelio te informacije ne zna sta je jos otvoreno u ME-u i cemu moze da se pristupi preko mreznih paketa.

@edit, evo i zvanicnih informacija:

https://security-center.intel....-SA-00075&languageid=en-fr

Citat:

Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege
Intel ID: INTEL-SA-00075
Product family: Intel® Active Management Technology, Intel® Small Business Technology, and Intel® Standard Manageability
Impact of vulnerability: Elevation of Privilege
Severity rating: Critical
Original release: May 01, 2017
Last revised: May 01, 2017
Summary:
There is an escalation of privilege vulnerability in Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), and Intel® Small Business Technology versions firmware versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5, and 11.6 that can allow an unprivileged attacker to gain control of the manageability features provided by these products. This vulnerability does not exist on Intel-based consumer PCs.


Description:
There are two ways this vulnerability may be accessed please note that Intel® Small Business Technology is not vulnerable to the first issue.

An unprivileged network attacker could gain system privileges to provisioned Intel manageability SKUs: Intel® Active Management Technology (AMT) and Intel® Standard Manageability (ISM).
CVSSv3 9.8 Critical /AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
An unprivileged local attacker could provision manageability features gaining unprivileged network or local system privileges on Intel manageability SKUs: Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), and Intel® Small Business Technology (SBT).



DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

tuxserbia
Oleg Vučković
urandom
/dev/null
Niš

Član broj: 4094
Poruke: 867

Jabber: tuxserbia@elitesecurity.org
ICQ: 65355850
Sajt: 127.0.0.1


+112 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u02.05.2017. u 10:02 - pre 84 meseci
Baš jutros pročitao. Smejao sam se pet minuta. Čuj, mi ćemo da vas štitimo. Mada, možda ovakva vest skrene pažnju na core/Libre boot.
Kako se dele racunarski programi?
Na bagovite (sa greskama) i ispravne (bez gresaka). Ovi drugi su hipoteticki.
***GPL-ovano by @Shadowed

"Ja za email koristim outlook express u virtualnoj mašini, tako da s te strane nijedan linux nije
dorastao XP-u." - pisac
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.ip.telfort.nl.



+7169 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u02.05.2017. u 10:28 - pre 84 meseci
Najgori scenario je masovna eksploatacija ovog problema posto patch-ovanje zahteva da OEM-i izdaju novi firmware.

To znaci da ce gomila masina neko vreme (mozda i zauvek) ostati sa ranjivim ME firmware-om. Verovatno ce top OEM-i patchovati sve sisteme ali obavestiti svoje Tier-1 korisnike ali sa sa masom white-label box-ova, polovnih sistema, malih firmi koje svakako nece zvati telefonom da ih obaveste da moraju da patchuju BIOS-e i sl?

E, sad, taj najgori scenario mozda bude nesto najbolje sto se desava industriji posto bi verovatno naterao bar neke da se zamisle jako dobro oko ovoga.

Ili to ili ce se morati cekati neka IoT katastrofa koja ce kostati zivote pa da cela stvar postane dovoljno ozbiljna da se regulise zakonski.

DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

xtraya
Vladanko Vladanovic
Belgrado

Član broj: 323
Poruke: 1011
*.mediaworksit.net.

ICQ: 6072593


+49 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u02.05.2017. u 12:09 - pre 84 meseci
Ne znam samo da li su se ikako pravno zastitili oko AMT posto ovo potpada pod ono "trazili ste gledajte" ... Da nije ovo iz nedavnih leak-ova izaslo?
Hmmm , na VIP-u 3G preko iphone-a 2,6 Mbps DL i 1,4 UP ...
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.ip.telfort.nl.



+7169 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u02.05.2017. u 12:20 - pre 84 meseci
Nije iz nedavnih ali mozda iz nekih koji ce uskoro da se dese, ili je rupu otkrio neki veliki OEM/kupac i naterao ih da je fixuju, mada u tom slucaju bi verovatno ovo zavrsilo u nekom errata dokumentu a ne ovako javno. Ovo vise smrdi na proaktivnu kontrolu stete koja ce tek da nastupi.

Sto se pravne zastite tice, ako stvarno krene s*anje i globalni hakeraj PC-jeva sa AMT-om sumnjam da ce im bilo sta pomoci.

DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

xtraya
Vladanko Vladanovic
Belgrado

Član broj: 323
Poruke: 1011
*.mediaworksit.net.

ICQ: 6072593


+49 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u02.05.2017. u 13:09 - pre 84 meseci
Citat:
Ovo vise smrdi na proaktivnu kontrolu stete koja ce tek da nastupi.


Takozvani prvi korak kriznog menadzeraja , sad kad krenu da potplacuju forume/sajtove i medije da umeksavaju pricu / autocenzurisu i iskrivljuju sustinu AMT-a (dobro poznata).
Hmmm , na VIP-u 3G preko iphone-a 2,6 Mbps DL i 1,4 UP ...
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.ip.telfort.nl.



+7169 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u02.05.2017. u 13:29 - pre 84 meseci
Pazi, mogu oni da potplacuju koga god hoce, ali ako 'akeri mogu i krenu ovo masovno da koriste cela stvar ide prvo u masovne medije a u gotovo isto vreme na sudove globalno. Tu nece pomoci potkupljeni sajtovi.

Samo je pitanje koliko je cela stvar iskoristiva i koliko dugo ce trebati blackhat-ovima da od toga naprave unosan biznis.

Ovde nisu potencijalno osteceni Joe Sixpack, Otto Normalverbraucher i ekvivalentni vec korporacije sa pristupom potrebnoj kolicini advokata da i Intel uviju u crno.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

sniper_
none

Član broj: 17297
Poruke: 1



+6 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u02.05.2017. u 18:21 - pre 84 meseci
O ovome je naš dragi kolega Sundance/Cynique pisao prije 10 godina http://istambuk.blogspot.com/.

Lurking.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u03.05.2017. u 08:37 - pre 84 meseci
Ne znam da li neko prati QubesOS, ali Joanna je o ovome pisala pre 2 godine :

https://blog.invisiblethings.org/papers/2015/x86_harmful.pdf

A ima i jos dosta dobrih tekstova na ovu temu. Nije ovo novo, nije ni blizu novo.... Prva spominjanja su recimo 2009-ta, tako nesto, da ovo postoji "in the wild" negde, vPro je izasao sa Core2Duo, tipa 2006-te. Moj neki guestimate je da ce ovo da se objavi kao deo Vault7, pa su dali intelu vremena da to ipak pecuje....
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.ptt.rs.



+2789 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u03.05.2017. u 16:18 - pre 84 meseci
Pa, ne može niko da ogovara za to što je izvršavao naloge institucija SAD.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.ip.telfort.nl.



+7169 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u03.05.2017. u 19:51 - pre 84 meseci
Sumnjam da bi se troslovne institucije tako kompromitovale. A nema ni potrebe.

"Nalog" za AMT je dosao od corporate kupaca koji su hteli da lik iz Hyderabada ili moze da hardverski resetuje ili re-imageuje OS na farmi servera u Kanzasu ili globalnoj floti laptopova.

Finalni rezultat je, naravno, da iz JavaScript-a imas daleko vece cak i od OS sistemskih privilegija, tako da su troslovne agencije samo trebale da sacekaju da cela stvar izadje na trziste, prakticno je garantovano da ima rupetine koje je moguce iskoristiti za posao.

Ista stvar i sa IPMI-jem i sl. Hoces daljinski pristup tog nivoa, prakticno si otvorio Pandorinu kutiju.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u03.05.2017. u 21:42 - pre 84 meseci
Prvo, i te kako moze da odgovara. Lepo je Ivan napisao gore, zamisli da neko zloupotrebi i upadne u npr. Bayer, pa krvi bi mu se napili njihovi advokati. Drugo i bitnije: pogledaj Vault7 malo. Lepo se vidi sta je i kako radjeno. Vidi se da nije bilo pomoci od strane vec da su sami "busili", ali se isto tako vidi da je odradjeno jako profesionalno.

Jednostavno, Intel godinama insistira na tom vPro i remote management, jer to neko hoce da plati. Godinama svi znamo da ce im se to obiti o glavu - i evo, izgleda da ce da i bude tako. Ta prica da ce neko da napravi takav low-level pristup uz jedinu zastitu u vidu kriptografije i bez update-a je bila i ostala busna. Ovakve stvari zahtevaju redovno odrzavanje i, jako pozeljno, peer review. Intel se trudio da zastiti corporate interese i sad je mnogo nas u problemu.....
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.ip.telfort.nl.



+7169 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u04.05.2017. u 09:17 - pre 84 meseci
Cela stvar je verovatno pocela integracijom ME koprocesora na platformu zbog AMT-a, a onda posto je kolo vec tu i moze da radi puno korisnih stvari su ostali timovi poceli da ga koriste za svoje stvari. Rezultat je da je danas ME integralni deo platforme koji je nemoguce kompletno ukloniti bez da procesor prestane da radi po specifikaciji. Pretpostavljam i da su AMT delovi aktivni cak i na platformama koje nemaju AMT vidljiv klijentima zato sto su jako korisni za debagovanje.

Takodje, stvar biva korisna kao jos jedna barijera u sprecavanju drugih da se slucajno ne usude da prave cipset za Intel procesore (mozda mozes da napravis hardver ali Intel nije obavezan da ti licencira ME firmware :-).

Danas je ideja pravljenja 3rd party Intel cipseta potpuno smesna pomisao ali pre 10 godina je to bila i dalje realna mogucnost (ko se seca NVIDIA nForce cipseta za Intel platforme? :-) i tada je to bio rizik za Intelovu kontrolu platforme i profit koji je Intel sigurno hteo da neutralise na svaki moguci nacin.

Drugim recima: feature creep zbog zahteva korisnika i Intel-ovih timova i menadzera.

Zvuci poznato? Trebalo bi, CPU industrija radi isto sto i skoro svaka druga i pate od istih problema.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.ptt.rs.



+2789 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u04.05.2017. u 11:03 - pre 84 meseci
Znaš kako, ne može pecifikacija biti toliko narušena da CPU ne može da izvršava normalan sistemski i aplikativni softver. Druga stvar je što onda u teoriji nemaš više 100% kompatibilnost unazad.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.ip.telfort.nl.



+7169 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u04.05.2017. u 11:41 - pre 84 meseci
@Nedeljko,

Nisam uopste siguran da najnoviji Intel procesori (Skylake & Co.) uopste mogu da se korektno inicijalizuju bez bar osnovnog ME-a. ME je aktivan >pre< nego sto CPU izadje iz reseta i moze da radi validaciju i samog platform firmware-a.

Mozda i moze da se "nabudzi" ali nikoga od OEM-a tako nesto ne zanima posto je trziste za tako nesto mizerno. Plus, cela stvar moze da propadne sa novom revizijom procesora.

Coreboot ekipa je uspela da eliminise dosta ME ROM-a ali je i dalje neophodno da osnovni moduli ostanu kako bi se sistem boot-ovao.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12846



+4783 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u04.05.2017. u 12:59 - pre 84 meseci
Da li AMD-ovi procesori imaju neki ekvivalent ME-a?
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.ip.telfort.nl.



+7169 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u04.05.2017. u 13:07 - pre 84 meseci
Naravno da imaju, AMD PSP :-)

http://www.amd.com/en-us/innov...software-technologies/security

Ako bas neces ME/PSP a treba ti x86, jedino resenje je da kupis neku matoru platformu - AMD od cca. pre 2009-te ili Intel pre 2006-te godine.


DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.ptt.rs.



+2789 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u05.05.2017. u 04:25 - pre 84 meseci
Može da se napravi CPU bez toga, kompatibilan u sasvim dovoljnoj meri. Pitanje je samo volje.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

Space Beer
ISS

Član broj: 325788
Poruke: 107
*.adsl.eunet.rs.



+93 Profil

icon Re: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u05.05.2017. u 05:14 - pre 84 meseci
Tu je VIA :)
https://translate.google.sk/tr...s6%2Fhtml%2F06%2Fn-636706.html
Naravno, u Kineze imamo puno poverenje

Videćemo kako će ići izvršavanje Win32 programa na ARM-u, što MS i Qualcomm guraju, možda je to rešenje za ovakve stvari. Mada ne bih ja verovao ni njima :d
 
Odgovor na temu

[es] :: Advocacy :: I.. konacno se desilo i to: Remote execution rupetina u Intel ME-u
(TOP topic, by flighter_022)
Strane: 1 2

[ Pregleda: 8234 | Odgovora: 33 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.