http://www.7dev.net

当前位置: 主页 > 电脑资讯 > 英特尔刚刚修复了一个隐藏七年之久的漏洞,但大部分电脑可能没法更新

英特尔刚刚修复了一个隐藏七年之久的漏洞,但大部分电脑可能没法更新

时间:2017-05-09来源: 网络整理 作者:时代生活资讯-城市生活资讯-最新门户资讯点击:
英特尔最近公布了一个主动管理技术(Active Management Technology,简称 AMT)的严重漏洞,可以让攻击者直接远程控制无外部防火墙保护的电脑。该漏洞影响极其之

英特尔最近公布了一个主动管理技术(Active Management Technology,简称 AMT)的严重漏洞,可以让攻击者直接远程控制无外部防火墙保护的电脑。该漏洞影响极其之大,涉及 2010 年以来生产的所有包含远程管理功能的英特尔芯片,以及搭载标准可管理 ( Intel Standard Manageability,简称 ISM ) 和小企业技术(Intel Small Business Technology)固件的产品。

英特尔官方已经发布漏洞补丁,这篇文章是 Google 安全研究员 @mjg59 对目前漏洞已知信息的汇总。

背景

很长时间里,英特尔芯片里都有一个管理引擎(Management Engine,简称 ME)和一颗独立于主 CPU 和操作系统的小型微处理器。从代码到处理媒体 DRM 再到 TPM 的实现,都会在 ME 中运行。AMT 是在 ME 上运行的另一件软件,而且它广泛使用了 ME 的功能。

Intel 采用的主动管理技术 ( AMT )

AMT 是指为 IT 部门提供管理客户端系统的方法。当启用 AMT 时,发送到目标机器 16992 或 16993 端口上的任何数据包将被重定向到 ME 并传递到 AMT 中,并且操作系统不会看到这些数据包。AMT 提供了一个 Web 接口,允许您执行重新启动机器,提供远程安装媒体甚至在系统配置正确情况下获取远程控制台。访问 AMT 是需要密码的,这个漏洞的本质是绕过了密码。

远程管理

AMT 有两种类型的远程控制台:仿真串行和全图形。仿真的串行控制台仅需要操作系统在该串行端口上运行控制台,而图形环境要求操作系统端的驱动程序设置为兼容的视频模式,但是与操作系统无关。然而,启用仿真串行支持的机器上,攻击者可能可以使用它来配置 grub 来启用串行控制台。在 Linux 下,远程图形控制台似乎是有问题的,但有些人还是会使用它,因此攻击者可能能够像您本身一样与图形控制台进行交互。

远程媒体控制

AMT 支持远程提供 ISO,以及在旧版本的 AMT(11.0 之前)中,这是一个模拟 IDE 控制器的形式。在 11.0 及更高版本中,采用仿真 USB 设备的形式。关于后者的好处是,如果有登录用户,则可能会自动安装任何提供这种方式的图像,这意味着可以使用格式不正确的文件系统在内核中执行任意代码。看起来非常有趣!

远程媒体的另一部分系统会很乐意启动它。因为攻击者可以将系统控制启动到自己的操作系统中,并随时查看驱动器内容。启动远程媒体后不允许他们以简单的方式绕过磁盘加密,所以你应该启用这一部分防止攻击者入侵。

漏洞危害

除非你已经确定启用了 AMT,否则你可能不受影响。这个漏洞允许本地普通用户配置系统的驱动程序将以管理员权限进行安装,因此除非您没有安装系统,那么唯一可以执行任何操作的本地用户就是管理员,否则您的系统面临着巨大的危险。如果确实有启用,那么您可能已经成为了受害者。

漏洞影响范围

AMT、ISM 以及 Intel 小型企业技术版本固件版本 6.x、7.x、8.x、9.x、10 .x、11.0、11.5 和 11.6,都可以允许普通权限攻击者控制这些产品 , 并且提供的可管理性功能。不过基于 Intel 的消费者的个人计算机上不存在此漏洞。

使用 Shodan 搜索引擎的查询到不超过 7,000 台服务器端口 16992 或 16993 打开。这些端口打开是远程攻击的一个要求。这些服务器数量仍然是潜在的巨大威胁,因为数万台计算机可以连接到其中一些主机。在其网络中启用了 LMS 和 AMT 的企业应该优先安装补丁。

 英特尔刚刚修复了一个隐藏七年之久的漏洞,但大部分电脑可能没法更新

如何知道我是否启用

是的,这个确认起来很麻烦。首先,您应该确认你的系统是否支持 AMT?AMT 需要下面这几件事情:

1. CPU 支持 AMT 2. 芯片组支持 AMT 3. 网络硬件支持 AMT 4. ME 固件包含 AMT 固件

只有一个 "vPRO"CPU 和芯片组是不能构成漏洞的,您的系统供应商也需要授权 AMT 代码。在 Linux 下,如果 lspci 在说明中没有显示 "MEI" 或 "HECI" 的通讯控制器,则 AMT 不运行,而且您是安全的。如果它显示一个 MEI 控制器,但那仍然不意味着你是易受攻击的,AMT 可能仍然没有被配置。如果您重新启动,您应该看到一个简短的固件闪光,在这时按下 ctrl

+ p 应该让你进入一个菜单,让你禁用 AMT。

WiFi 上网时会受影响吗?

打开 AMT 不会自动打开 WiFi。 AMT 仅将自身连接到已经明确的网络。不过令人困惑的是,一旦操作系统运行,WiFi 就会从 ME 切换到操作系统,并将数据包转发到 AMT。而且我无法找到关于启用 AMT 是否会导致操作系统将数据包转发到所有 WiFi 网络的文档。

未知情况

我们有关于该漏洞的零信息,除了它允许未经身份验证的 AMT 访问。目前尚不清楚的一件大事是,这是否影响所有 AMT 设置,小型企业模式的设置或企业模式的设置。如果是后者,对个人最终用户的影响基本为零,因为企业模式涉及一大堆配置,没有人为自己的电脑做这些事情。如果它影响所有的系统,或只是小企业模式的系统,那么事情可能会更糟。

应急措施

确保 AMT 已禁用。如果这是你自己的电脑,那么你应该没有什么可以担心的。如果您是 Windows 管理员,并且在 Windows 中存在不受信任的用户,则还应按照链接说明禁用或卸载 LSM。

这是否意味着自 2010 年以来建立的每个 Intel 系统都可以被黑客攻击?

不,大多数英特尔系统都不附带 AMT。并且大多数带有 AMT 的英特尔系统都没有启用它。

这是否允许系统的被持续控制?

当然会的。攻击者可以禁用安全启动并安装一个带有后门的启动器,就像他们可以通过物理访问一样。

ME 是不是可以任意访问 RAM 的巨大后门?

是的,但没有迹象表明这个漏洞允许在 ME 上执行任意代码,它看起来只是 AMT 的身份验证的辅助。

这是一个大问题吗?

是。修复这个漏洞需要更新硬件固件,许多受影响的机器不再从其制造商接收固件更新,因此可能永远不会得到修复,任何曾经启用过 AMT 的设备都将面临被攻击的危险。而固件很难像 Windows 那样明显的提示用户,所以即使有更新两人,用户可能不会知道或安装它们。

将来如何避免这种事情

用户应该完全控制系统上运行的内容,包括 ME。如果一个供应商不再提供更新,那么至少有一个用户可以通过支付别人做一个固件版本来做适当的修复。只有在硬件制造商的支持下,固件更新才会不断进行。

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
相关内容
推荐内容