La Fibre

Télécom => Réseau => reseau Attaques informatiques => Discussion démarrée par: BadMax le 06 mai 2017 à 20:54:39

Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: BadMax le 06 mai 2017 à 20:54:39
Annoncée le 1er mai (CVE-2017-5689), la vulnérabilité est pire qu'annoncée, un exploit très simple serait réalisable.

"Details of the vulnerability will with high probability become public within 24 hours. The exploit is trival, max five lines of Python, could be doable in one-line shell command. It gives full control of affected machines, including the ability to read and modify everything. It can be used to install persistent malware (possibly in firmware), and read and modify any data. For security servers, it may allow disabling security features, creating fake credentials, or obtaining root keys.

DISABLE AMT TODAY! See links to instructions below. Mobilize whomever you need. Start from the most critical servers: Active Directory, certificate authorities, critical databases, code signing servers, firewalls, security servers, HSMs (if they have it enabled). For data centers, if you can, block ports 16992, 16993, 16994, 16995, 623, 664 in internal firewalls now.

If you have anything connected to the Internet with AMT on, disable it now. Assume the server has already been compromised."

https://www.ssh.com/vulnerability/intel-amt/

Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: alain_p le 06 mai 2017 à 21:12:26
Le ton est un peu dramatique. En ce qui concerne les serveurs, par exemple, les serveurs Dell PowerEdge ne semblent pas concernés :

The Intel vPro/AMT features are not leveraged in the Poweredge servers, because of the iDrac. The T20 is the exception to this, but there does appear to be a patch in the works for it.

http://en.community.dell.com/support-forums/servers/f/177/t/20011630
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: BadMax le 06 mai 2017 à 21:18:49
HP est impacté sur la gamme Proliant ML10 Gen9.

Lenovo est impacté sur ses ThinkServer: https://support.lenovo.com/fr/en/product_security/len-14963#ThinkServer

IBM n'a rien dit encore et il y a aussi SuperMicro qui est très répandu. Sans oublier qu'Intel fournit aussi des cartes mères serveurs.

Donc oui il y a de quoi s'affoler, Dell ne représente pas la majorité.
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: vivien le 06 mai 2017 à 21:26:38
A partir de quelle génération de CPU on est susceptible d'être affecté ?

IBM ne fabrique plus de serveur x86 depuis fin 2014, ils pourraient être affectés ? (les serveurs x86 d'IBM appartiennent à Lenovo depuis le 1er octobre 2014)
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: BadMax le 06 mai 2017 à 21:31:21
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

"Currently, AMT is available in desktops, servers, ultrabooks, tablets, and laptops with Intel Core vPro processor family, including Intel Core i3, i5, i7, and Intel Xeon processor E3-1200 product family.[1][10][11]

Intel has confirmed a Remote Elevation of Privilege bug (CVE-2017-5689) in its Management Technology, on 1 May 2017.[12] Every Intel platform with either Intel Standard Manageability, Active Management Technology, or Small Business Technology, from Nehalem in 2008 to Kaby Lake in 2017 has a remotely exploitable security hole in the IME (Intel Management Engine).[13][14]"

On n'est pas dans la merde...
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: alain_p le 06 mai 2017 à 21:42:57
Même si les serveurs physiques sont impactés, en ces temps de machines virtuelles généralisées, ils sont eux-mêmes rarement directement sur Internet. Et même s'ils l'étaient, les port mentionnés sont rarement ouverts sur l'extérieur.

Il faudrait donc que ce soit surtout de l'intranet que la faille soit exploitée. Pas d'affolement, de la raison...
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: BadMax le 06 mai 2017 à 21:56:51
AMT est un management Out-Of-Band dont l'OS n'a pas conscience. Même sur un hardware avec hyperviseur, AMT est transparent et permet par exemple de lancer une console VNC à distance.

Même si tu actives un iptables sur ton serveur, c'est actif.

Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: alain_p le 06 mai 2017 à 21:59:17
En général, le pare-feu n'est pas sur ton serveur (en tout cas pas le principal), il est sur une machine dédiée en amont.

P.S : cela me rappelle un petit débat avec corrector sur l'utilité des pare-feu... Pas de service accessible dans l'OS, mais quand même sur la machine !
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: vivien le 06 mai 2017 à 22:04:48
Pour ceux qui se demandent, Nehalem, c'est avant les processeurs Core (juste avant le processeur Core de première génération)

Nehalem
Westmere => Gen1
Sandy-Bridge => Gen2
Ivy-Bridge => Gen3
Haswell => Gen4
Broadwell => Gen5
Skylake => Gen6
Kaby-Lake => Gen7
Cannonlake => Gen8
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: jack le 06 mai 2017 à 22:10:44
À mettre en relation avec l'IPMI
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: corrector le 06 mai 2017 à 23:55:17
En général, le pare-feu n'est pas sur ton serveur (en tout cas pas le principal), il est sur une machine dédiée en amont.

P.S : cela me rappelle un petit débat avec corrector sur l'utilité des pare-feu... Pas de service accessible dans l'OS, mais quand même sur la machine !
Oui, cela me renforce dans l'idée que le pare-feu d'hôte (type iptables) pour bloquer les connexions entrantes ne sert pas à grand chose.
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: corrector le 07 mai 2017 à 00:20:39
À mettre en relation avec l'IPMI
IPMI: The most dangerous protocol you've never heard of

IPMI could be punching holes in your corporate defenses.

You spend thousands or even hundreds of thousands of dollars to secure the data stored on the critical databases and application servers your organization relies on. But what if each of those systems secretly harbored a powerful, hardware based back door that would give a remote attacker total control of the system? And what if that backdoor wasn't planted by some shadowy hacker group operating out of the former Soviet republics, but by the multi-billion dollar Western company that sold you the server in the first place?

If that sounds fantastic, I've got one word...err...acronym for you: IPMI, and its turning into the new four letter word in security. IPMI stands for Intelligent Platform Management Interface. It's a powerful protocol that is supported by many late model server hardware from major manufacturers like Dell, HP, Oracle and Lenovo.

http://www.itworld.com/article/2708437/security/ipmi--the-most-dangerous-protocol-you-ve-never-heard-of.html
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: Marco POLO le 07 mai 2017 à 01:14:50
Je suppose que, lorsqu'on bloque le contrôle à distance de l'ordinateur (https://fr.wikipedia.org/wiki/Intel_Active_Management_Technology), on ne court aucun risque !?  (https://lafibre.info/images/smileys/@GregLand/cs.gif)
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: corrector le 07 mai 2017 à 01:32:41
Qu'est-ce qui te fait penser ça?
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: corrector le 07 mai 2017 à 02:06:29
July 27, 2009 — Invisible Things Lab's Rafal Wojtczuk and Alexander Tereshkin will present two
new technical presentations at this year's Black Hat Conference in Las Vegas, NV, in July. The first
presentation will talk about a new type of stealth malware, that potentially could be more powerful
than kernel-mode, hypervisor-mode, and even SMM-based rootkits, while the second presentation
will focus on bypassing the re-flash protections found on mainstream Intel® desktop systems.

Introducing "Ring -3" Rootkits (Compromising the Chipset)

In this presentation we will present the results of our research on how malware can potentially
abuse the Intel® AMT technology (part of the vPro™ brand) in order to stealthy take control over
the machine. The Intel® AMT technology offers attractive features for the attacker — AMT's code is
executed by an independent processor that is located in the chipset (a vPro-compatible MCH),
AMT's memory is separated from the host memory (isolation enforced by the chipset), AMT code
has a dedicated link to the network card (independent of the host OS and drivers), and, last but not
least, the AMT is active even if the computer is put into a sleep mode (S3 state).

http://invisiblethingslab.com/press/itl-press-2009-03.pdf
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: corrector le 07 mai 2017 à 03:14:47
En général, le pare-feu n'est pas sur ton serveur (en tout cas pas le principal), il est sur une machine dédiée en amont.

P.S : cela me rappelle un petit débat avec corrector sur l'utilité des pare-feu...
De l'utilité de restreindre l'accès à votre réseau interne par des "pare-feu" très stricts et très chers en périphérie :

Citer
This is like giving everyone with intranet access root privileges on every server whose AMT port they can communicate with (including janitors who can plug into the internal network).

https://www.ssh.com/vulnerability/intel-amt/
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: corrector le 07 mai 2017 à 03:33:38
Annoncée le 1er mai (CVE-2017-5689), la vulnérabilité est pire qu'annoncée, un exploit très simple serait réalisable.
On est d'accord que la réputation de Intel est démolie, sans doute définitivement?
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: alain_p le 07 mai 2017 à 08:35:04
Oui, cela me renforce dans l'idée que le pare-feu d'hôte (type iptables) pour bloquer les connexions entrantes ne sert pas à grand chose.

Mais sur la box par contre, dans ce cas par exemple, cela pourrait être très utile, notamment pour l'IPv6.
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: corrector le 07 mai 2017 à 08:43:24
Mais sur la box par contre, dans ce cas par exemple, cela pourrait être très utile, notamment pour l'IPv6.
Les machines savent faire de l'IPv6?

(Tu vas me dire, si ce n'est pas le cas, ça viendra...)
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: alain_p le 07 mai 2017 à 08:54:59
Citer
Intel AMT has support for both IPv6 and IPv4, however there are things you need to know about which configurations are applicable to their usages.
...
The Intel AMT IP address can be either an IPv4 address or, starting with Release 6.0, an IPv6 address. Here are the basic configurations:
....

https://software.intel.com/en-us/AMT-IPV6-vs-IPV4

Ce qui ne veut pas dire que ce soit activé par défaut.
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: BadMax le 07 mai 2017 à 08:57:27
Je suppose que, lorsqu'on bloque le contrôle à distance de l'ordinateur (https://fr.wikipedia.org/wiki/Intel_Active_Management_Technology), on ne court aucun risque !?  (https://lafibre.info/images/smileys/@GregLand/cs.gif)

Rien à voir, AMT est une couche indépendante de l'OS, même si ce dernier peut ajouter un support soft complèmentaire.

Côté grand-public, je ne pense pas qu'il y est grand chose à craindre car il faut un Core iX avec un chipset "vPro" : seuls les PC portables destinés aux entreprises en sont équipés.

À mettre en relation avec l'IPMI

IPMI est indépendant avec une carte réseau dédiée (sauf si on s'amuse à la remapper sur la carte réseau principale façon gros cochon).

De l'utilité de restreindre l'accès à votre réseau interne par des "pare-feu" très stricts et très chers en périphérie :

Sauf que si tu as déployé un firewall type PfSense ou Checkpoint sur un serveur x86 et bien tu es exposé aussi au problème. On met un pare-feu pour protéger le pare-feu ?

On suspecte aussi des appliances basées sur du x86 d'être exposées, parfois les constructeurs ne font qu'utiliser des standard du marché.

Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: alain_p le 07 mai 2017 à 09:04:15
Côté grand-public, je ne pense pas qu'il y est grand chose à craindre car il faut un Core iX avec un chipset "vPro" : seuls les PC portables destinés aux entreprises en sont équipés.

Je ne suis peut-être pas tout à fait "grand-public", mais j'ai chez moi un Dell Optiplex et un Dell Latitude, et l'Ipv6 activé. Je vais regarder....
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: BadMax le 07 mai 2017 à 09:14:56
A priori chez Dell ça ne craint rien car ils ne l'utilisent pas.

Dans mon ancien TAF, mon portable Lenovo avait la fonction.
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: alain_p le 07 mai 2017 à 09:30:23
Il ne faut pas oublier que les portables du boulot se retrouvent au domicile...
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: vivien le 07 mai 2017 à 10:05:57
Sans configuration IP de l'Intel Active Management Technology, pas de risque, non ?

(https://lafibre.info/images/materiel/201001_intel_amt_bios_4.png)

Voici d'autres copie d'écran d'un Intel® Core™2 with vPro™ réalisées par Sreelekshmy Syamalakumari, d'Intel :
(https://lafibre.info/images/materiel/201001_intel_amt_bios_1.png)

(https://lafibre.info/images/materiel/201001_intel_amt_bios_2.png)

(https://lafibre.info/images/materiel/201001_intel_amt_bios_3.png)

(https://lafibre.info/images/materiel/201001_intel_amt_bios_5.png)
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: BadMax le 07 mai 2017 à 13:17:43
Sans configuration IP de l'Intel Active Management Technology, pas de risque, non ?

Pas certain car je crois qu'il utilise l'IP de l'OS dans ce cas. Pas d'AMT sous la main donc pas de quoi tester pour vérifier.
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: vivien le 07 mai 2017 à 14:21:36
Comment l'AMT peut récupérer l'IP de l'OS, si celui-ci n'a pas de logiciel pour lui transmettre ?
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: alain_p le 07 mai 2017 à 14:51:08
Oui, effectivement, c'est ce que je voulais vérifier. Sans configuration, l'AMT peut-il être vulnérable ?
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: Hugues le 07 mai 2017 à 15:01:55
Tiens, j'ai l'AMT sur mon laptop avec un i5 1stGen & Vpro.. Génial :(
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: alain_p le 07 mai 2017 à 15:34:22
En fait, d'après ce que je lis, il n'y a que les systèmes qui ont été activés et provisionnés (ie IP configurée), qui sont vulnérables.

Citer
An unprivileged network attacker could gain system privileges to provisioned Intel manageability SKUs: Intel Active Management Technology (AMT) and Intel Standard Manageability (ISM). An unprivileged local attacker could provision manageability features gaining unprivileged network or local system privileges on Intel manageability SKUs: Intel Active Management Technology (AMT), Intel Standard Manageability (ISM), and Intel Small Business Technology (SBT).

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5689

D'autre part, il semble que ce soit un problème dans l'authentification de l'utilisateur qui soit la faille. En gros n'importe qui peut rentrer dans l'interface en administrateur, mais il faut que celle-ci soit joignable.

Citer
Drawing on past experience when we reported an authentication-related vulnerability in which the length of credential comparison is controlled by the attacker (memcmp(attacker_passwd, correct_passwd, attacker_pwd_len)), we tested out a case in which only a portion of the correct response hash is sent to the AMT web server. To our surprise, authentication succeeded!

https://www.tenable.com/blog/rediscovering-the-intel-amt-vulnerability

Donc il semble bien qu'il n'y ait aucun problème sur les systèmes où l'AMT n'est pas configuré, ce qui est mon cas.
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: jack le 07 mai 2017 à 15:37:29
Donc, c'est bien exactement pareil que l'IPMI, à la nuance prêt que ce dernier peut être sur un réseau physique séparé (nuance dont les implications sont pour autant relativement limités)
Rien de nouveau sous le soleil, et rien d'outrageusement scandaleux
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: alain_p le 07 mai 2017 à 15:58:23
Quelques précisions d'embedi, la société qui a révélé la faille, à la demande d'Intel :

Citer
-   Systems affected by this vulnerability are from 2010-2011 (not 2008, as was mentioned in some of the comments), because Intel manageability firmware version 6.0 and above was made not earlier than 2010;
-   Under possible remote siege are Intel systems (like PC, laptops and servers) with enabled the Intel AMT feature;
-   With 100 percent certainty it is not an RCE but rather a logical vulnerability;
-    There are several vectors for the vulnerability exploitation and attackers’ modus operandi;
-   There is also a chance of attacks performed on Intel systems without Intel AMT support.

Je n'ai pas trop compris la derière phrase, mais sinon, je note le 'enabled'.

https://www.embedi.com/news/mythbusters-cve-2017-5689

Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: Marco POLO le 07 mai 2017 à 19:58:36
Rien à voir, AMT est une couche indépendante de l'OS, même si ce dernier peut ajouter un support soft complèmentaire.

Côté grand-public, je ne pense pas qu'il y est grand chose à craindre car il faut un Core iX avec un chipset "vPro" : seuls les PC portables destinés aux entreprises en sont équipés...
...Merci pour ces précisions: tu me rassures...   (https://lafibre.info/images/smileys/@GregLand/bq.gif)
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: corrector le 09 mai 2017 à 02:41:06
En fait, d'après ce que je lis, il n'y a que les systèmes qui ont été activés et provisionnés (ie IP configurée), qui sont vulnérables.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5689

D'autre part, il semble que ce soit un problème dans l'authentification de l'utilisateur qui soit la faille. En gros n'importe qui peut rentrer dans l'interface en administrateur, mais il faut que celle-ci soit joignable.
Autrement dit : on peut devenir admin sans aucun privilège au départ, juste avec la connectivité - ce qui n'est jamais considéré comme un privilège.

Ce qui veut dire qu'il ne s'agit pas d'une "élévation de privilège", contrairement au discours de Intel.
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: corrector le 09 mai 2017 à 03:38:03
Comment l'AMT peut récupérer l'IP de l'OS, si celui-ci n'a pas de logiciel pour lui transmettre ?
C'est décrit dans la documentation précitée :
Citer
Intel AMT and the host have a shared dynamic IP address (IPv4 only). The IP address is issued by a DHCP server on request by the host. Intel AMT either detects the DHCP address requests and responses, or starting with AMT Release 7.0, requests IP address updates via the Local Manageability Server (LMS) (from Release 9.0) or the User Notification Service (UNS) (releases prior to 9.0).
Intel AMT and the host have different static IP addresses (wired interface only). This is valid but requires two IP addresses per platform. Set the two IP addresses directly.
donc le machin peut s'approprier une adresse IPv4 de façon entièrement automatique, et sans que rien n'apparaisse dans la table DHCP!
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: corrector le 09 mai 2017 à 04:21:03
Sauf que si tu as déployé un firewall type PfSense ou Checkpoint sur un serveur x86 et bien tu es exposé aussi au problème. On met un pare-feu pour protéger le pare-feu ?
...et ainsi de suite.
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: vivien le 09 mai 2017 à 13:26:37
Il y a donc peu de risque pour un serveur, car on ne met rarement un serveur en client DHCP...
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: corrector le 09 mai 2017 à 13:33:25
Et encore, la prochaine version aura des moyens encore plus vicieux pour se mettre à utiliser une IP sans demander la permission!
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: tivoli le 11 mai 2017 à 21:29:50
Plus de details technique ici : https://www.crashdebug.fr/informatik/93-securite/13588-comment-pirater-a-distance-les-ordinateurs-utilisant-des-puces-non-securisees-d-intel-il-suffit-d-utiliser-une-chaine-d-authentification-vide

Je n'ai pas capture l'article car ca devient illisible mais c'est interessant a lire
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: corrector le 12 mai 2017 à 01:02:53
Pas tout compris!

Citer
Eh bien regardez ça - en utilisant un proxy entre vous et l'appareil ou un outil similaire d’édition de trafic de bande, il suffit juste de modifier le hachage de réponse à envoyer à la place :

Original :

Citer
Well, screw that – using a proxy between you and the device, or a similar traffic-editing tool, just strip out the response hash to send instead:
Titre: Faille 0-day sur la fonction AMT d'Intel
Posté par: cali le 12 mai 2017 à 02:33:29
vPro+ME+AMT de la bonne chiasse.

Il est temps de passer a l'OpenPower.