Auteur Sujet: Faille 0-day sur la fonction AMT d'Intel  (Lu 12112 fois)

0 Membres et 1 Invité sur ce sujet

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #12 le: 07 mai 2017 à 01:14:50 »
Je suppose que, lorsqu'on bloque le contrôle à distance de l'ordinateur, on ne court aucun risque !? 

corrector

  • Invité
Faille 0-day sur la fonction AMT d'Intel
« Réponse #13 le: 07 mai 2017 à 01:32:41 »
Qu'est-ce qui te fait penser ça?

corrector

  • Invité
Faille 0-day sur la fonction AMT d'Intel
« Réponse #14 le: 07 mai 2017 à 02:06:29 »
July 27, 2009 — Invisible Things Lab's Rafal Wojtczuk and Alexander Tereshkin will present two
new technical presentations at this year's Black Hat Conference in Las Vegas, NV, in July. The first
presentation will talk about a new type of stealth malware, that potentially could be more powerful
than kernel-mode, hypervisor-mode, and even SMM-based rootkits, while the second presentation
will focus on bypassing the re-flash protections found on mainstream Intel® desktop systems.

Introducing "Ring -3" Rootkits (Compromising the Chipset)

In this presentation we will present the results of our research on how malware can potentially
abuse the Intel® AMT technology (part of the vPro™ brand) in order to stealthy take control over
the machine. The Intel® AMT technology offers attractive features for the attacker — AMT's code is
executed by an independent processor that is located in the chipset (a vPro-compatible MCH),
AMT's memory is separated from the host memory (isolation enforced by the chipset), AMT code
has a dedicated link to the network card (independent of the host OS and drivers), and, last but not
least, the AMT is active even if the computer is put into a sleep mode (S3 state).


http://invisiblethingslab.com/press/itl-press-2009-03.pdf

corrector

  • Invité
Faille 0-day sur la fonction AMT d'Intel
« Réponse #15 le: 07 mai 2017 à 03:14:47 »
En général, le pare-feu n'est pas sur ton serveur (en tout cas pas le principal), il est sur une machine dédiée en amont.

P.S : cela me rappelle un petit débat avec corrector sur l'utilité des pare-feu...
De l'utilité de restreindre l'accès à votre réseau interne par des "pare-feu" très stricts et très chers en périphérie :

Citer
This is like giving everyone with intranet access root privileges on every server whose AMT port they can communicate with (including janitors who can plug into the internal network).

https://www.ssh.com/vulnerability/intel-amt/

corrector

  • Invité
Faille 0-day sur la fonction AMT d'Intel
« Réponse #16 le: 07 mai 2017 à 03:33:38 »
Annoncée le 1er mai (CVE-2017-5689), la vulnérabilité est pire qu'annoncée, un exploit très simple serait réalisable.
On est d'accord que la réputation de Intel est démolie, sans doute définitivement?

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 170
  • Delta S 10G-EPON sur Les Ulis (91)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #17 le: 07 mai 2017 à 08:35:04 »
Oui, cela me renforce dans l'idée que le pare-feu d'hôte (type iptables) pour bloquer les connexions entrantes ne sert pas à grand chose.

Mais sur la box par contre, dans ce cas par exemple, cela pourrait être très utile, notamment pour l'IPv6.

corrector

  • Invité
Faille 0-day sur la fonction AMT d'Intel
« Réponse #18 le: 07 mai 2017 à 08:43:24 »
Mais sur la box par contre, dans ce cas par exemple, cela pourrait être très utile, notamment pour l'IPv6.
Les machines savent faire de l'IPv6?

(Tu vas me dire, si ce n'est pas le cas, ça viendra...)

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 170
  • Delta S 10G-EPON sur Les Ulis (91)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #19 le: 07 mai 2017 à 08:54:59 »
Citer
Intel AMT has support for both IPv6 and IPv4, however there are things you need to know about which configurations are applicable to their usages.
...
The Intel AMT IP address can be either an IPv4 address or, starting with Release 6.0, an IPv6 address. Here are the basic configurations:
....

https://software.intel.com/en-us/AMT-IPV6-vs-IPV4

Ce qui ne veut pas dire que ce soit activé par défaut.

BadMax

  • Client Free adsl
  • Expert
  • *
  • Messages: 3 481
  • Malissard (26)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #20 le: 07 mai 2017 à 08:57:27 »
Je suppose que, lorsqu'on bloque le contrôle à distance de l'ordinateur, on ne court aucun risque !? 

Rien à voir, AMT est une couche indépendante de l'OS, même si ce dernier peut ajouter un support soft complèmentaire.

Côté grand-public, je ne pense pas qu'il y est grand chose à craindre car il faut un Core iX avec un chipset "vPro" : seuls les PC portables destinés aux entreprises en sont équipés.

À mettre en relation avec l'IPMI

IPMI est indépendant avec une carte réseau dédiée (sauf si on s'amuse à la remapper sur la carte réseau principale façon gros cochon).

De l'utilité de restreindre l'accès à votre réseau interne par des "pare-feu" très stricts et très chers en périphérie :

Sauf que si tu as déployé un firewall type PfSense ou Checkpoint sur un serveur x86 et bien tu es exposé aussi au problème. On met un pare-feu pour protéger le pare-feu ?

On suspecte aussi des appliances basées sur du x86 d'être exposées, parfois les constructeurs ne font qu'utiliser des standard du marché.


alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 170
  • Delta S 10G-EPON sur Les Ulis (91)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #21 le: 07 mai 2017 à 09:04:15 »
Côté grand-public, je ne pense pas qu'il y est grand chose à craindre car il faut un Core iX avec un chipset "vPro" : seuls les PC portables destinés aux entreprises en sont équipés.

Je ne suis peut-être pas tout à fait "grand-public", mais j'ai chez moi un Dell Optiplex et un Dell Latitude, et l'Ipv6 activé. Je vais regarder....

BadMax

  • Client Free adsl
  • Expert
  • *
  • Messages: 3 481
  • Malissard (26)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #22 le: 07 mai 2017 à 09:14:56 »
A priori chez Dell ça ne craint rien car ils ne l'utilisent pas.

Dans mon ancien TAF, mon portable Lenovo avait la fonction.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 170
  • Delta S 10G-EPON sur Les Ulis (91)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #23 le: 07 mai 2017 à 09:30:23 »
Il ne faut pas oublier que les portables du boulot se retrouvent au domicile...