Intel устранил удалённую уязвимость в технологии AMT

Intel устранил удалённую уязвимость в технологии AMT

Компания Intel сообщила об устранении критической уязвимости, позволяющей непривилегированному атакующему получить доступ к функциям удалённого управления оборудованием.

Проблема затрагивает серверные системы с чипами, предоставляющими независимые интерфейсы Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) и Intel Small Business Technology (SBT), применяемые для мониторинга и управления оборудованием. Утверждается, что уязвимость проявляется в версиях прошивок с 6 по 11.6 включительно. Персональные компьютеры на чипах Intel проблеме не подвержены, сообщает opennet.ru.

Описывается два возможных вектора атаки - сетевой и локальный. При сетевой атаке злоумышленник может получить привилегии для управления системой через AMT и ISM (сетевые порты 16992 и 16993, проброс на которые осуществляется автоматически без обработчика на уровне ОС), а при локальной атаке доступ можно получить через локальное обращение к интерфейсам AMT, ISM и SBT. В обычных условиях вход в интерфейс AMT защищён паролем, но рассматриваемая уязвимость позволяет получить доступ без пароля. Атака возможна только при явном включении AMT, а для локальной атаки непривилегированным пользователем в системе должны быть активированы специальные драйверы. Детали о методе эксплуатации пока остаются неопубликованными.

Интерфейс AMT позволяет получить доступ к функциям управления питанием, мониторингу трафика, изменению настроек BIOS, обновлению прошивок, очистке дисков, удалённой загрузке новой ОС (эмулируется USB-накопитель с которого можно загрузиться), перенаправлению консоли (Serial Over LAN и KVM по сети) и т.д. Предоставляемых интерфейсов достаточно для проведения атак, применяемых при наличии физического доступа к системе, например, можно загрузить Live-систему и внести из неё изменения в основную систему. В настоящее время сервис Shodan находит около 7 тысяч хостов с открытыми сетевыми портами 16992 и 16993, что относительно немного.

Для пользователей, которые не имеют возможность установить обновление прошивки подготовлено руководство с описанием обходных путей решения проблемы. В частности для блокирования удалённых атак рассказано как отключить обработку сетевых запросов (перевод в состояние UnConfigure), а для защиты от проведения локальных атак указано как отключить сервисы LMS (Local Manageability Service, применяются на серверах под управлением Windows). Определить наличие поддержки AMT из Linux можно командной 'lspci| grep -E "MEI|HECI"', если один из данных контроллеров присутствует, то следует убедиться в BIOS (ctrl+p при загрузке), что он не активирован.

Напомним, что современные чипсеты Intel оснащены отдельным микропроцессором Management Engine, работающим независимо от CPU и операционной системы. На Management Engine вынесено выполнение задач, которые необходимо отделить от ОС, такие как обработка защищённого контента (DRM), реализации модулей TPM (Trusted Platform Module) и низкоуровневые интерфейсы для мониторинга и управления оборудованием. Примечательно, что Фонд СПО несколько лет назад предупреждал о потенциальных проблемах с безопасностью в Management Engine и признавал не соответствующим критериям обеспечения приватности и свободы пользователей. Кроме того, Йоанна Рутковская (Joanna Rutkowska) развивала проект по созданию ноутбука, не сохраняющего состояние (stateless), для обеспечения блокировки скрытого доступа к информации пользователя из аппаратных компонентов, подобных Management Engine. 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PT Expert Security Center может предсказывать атаки группы RTM

RTM вместе с Cobalt и Silence является самой активной киберпреступной группой, атакующей российские финансовые компании и промышленный сектор. Специалисты Positive Technologies (PT Expert Security Center) «ведут» эту группу с 2018 года, что позволило им разработать механизм, предсказывающий дальнейшие действия RTM.

Основная цель злоумышленников — проникнуть в корпоративную сеть, для чего они используют фишинговые рассылки. В PT Expert Security Center заявили, что за 2018 год было зафиксировано 59 атак RTM.

Уже в 2019 году киберпреступники успели провести 45 атак. Углубившись в анализ рассылок группировки, специалисты PT Expert Security Center смогли вычислить, что функции командных центров C&C выполняют домены в зоне .bit.

Поскольку эта доменная зона создана на базе блокчейна Namecoin, эксперты PT Expert Security Center смогли изучить особенности архитектуры блокчейна, что позволило создать схему отслеживания регистрации новых доменов, принадлежащих RTM. Более того, исследователи могут даже отследить смену IP-адресов злоумышленников.

Благодаря новому алгоритму специалисты PT Expert Security Center теперь могут уведомлять финансовые организации о появлении новых командных серверов, которые киберпреступники будут использовать для атак.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru