В понедельник, 1 мая 2017г., компанией Intel была опубликована информация о критической уязвимости (INTEL-SA-00075/ CVE-2017-5689) платформ Intel, имеющих функции Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) и Intel® Small Business Technology (SBT).

Чтотакое Intel AMT/ISM/SBT

Компоненты Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) и Intel® Small Business Technology (SBT) являются частью технологии Intel vPro, предназначенной для удаленного управления компьютером без использования средств ОС. Технология основана на специализированном чипе Intel Management Engine, функционирующем независимо от ОС и обладающим собственной прошивкой, независимым доступом к сетевым интерфейсам и прямым доступом к оперативной памяти.

Компонент Intel® Active Management Technology (AMT) обеспечивает веб-интерфейс удаленного управления и доступ к таким функциям как:

• удаленная консоль управления;
• диагностика и мониторинг рабочей станции;
• загрузка ОС с удаленного носителя.

Уязвимость позволяет злоумышленнику получить привилегированный доступ к веб-интерфейсу управления Active Management Technology (AMT).

Уязвимости актуальна для чипсетов Intel выпускаемыx с 2010 года, включая последние поколения Kaby Lake Core, с прошивками ME/AMT версий 6.х - 11.6

Команда экспертов «Информзащиты» проводит исследование данной уязвимости. Согласно информации Intel, возможные векторы атак могут выглядеть следующим образом:

Векторы атаки:

1. Удаленная эксплуатация. Злоумышленник может получить привилегированный удаленный доступ к веб-интерфейсу AMT/ISM.
2. Локальная эксплуатация. Злоумышленник, имея непривилегированный локальный доступ к системе, может повысить привилегии посредством развертывания и использования функций AMT/ISM/SBT.

Обновления безопасности

Компания Intel выпустила патч безопасности, закрывающий данную уязвимость. Но для установки данного патча необходимо, чтобы производитель оборудования (материнской платы, ноутбука, рабочей станции) интегрировал данный патч в новую версию прошивки. Для некоторых, уже неподдерживаемых систем, новые версии прошивок возможно не будут выпущены никогда.

Рекомендации

Компания «Информзащита» рекомендует следующий перечень первоочередных действий, направленных на нейтрализацию данной угрозы:

1. В качестве первичного экспресс-анализа, произвести сканирование сети на предмет наличия открытых портов TCP:16992-16995, 623, 664 на рабочих станциях, серверах и других узлах сети.
2. Дополнительно необходимо проверить актуальность уязвимости для всех рабочих станций, серверов и других узлов сети, используя инструмент «INTEL-SA-00075 Discovery Tool», либо другие методы в соответствии с  документом «INTEL-SA-00075 Detection Guide» https://downloadcenter.intel.com/download/26755
3. Проверить доступность на сайте производителя вашего оборудования новой версии прошивки, исправляющую уязвимость (INTEL-SA-00075/ CVE-2017-5689). Установить в случае доступности.
4. Если новая версия прошивки недоступна, отключить функции AMT, ISM, SBM следуя руководству «INTEL-SA-00075 Mitigation Guide» https://downloadcenter.intel.com/download/26754.
5. Если отключение данных функций невозможно – ограничить доступ к данным машинам на сетевом уровне и/или заблокировать удаленный доступ к портам TCP:16992-16995, 623, 664. Следует иметь в виду, что это снизит риск только удаленной эксплуатации уязвимости.

В настоящий момент сервис Shodan обнаруживает более 6,3 тыс. сетевых узлов с открытыми портами TCP:16992, TCP:16993. Из них в России таких узлов порядка 280.