image

Intel waarschuwt voor ernstig lek in processors

dinsdag 2 mei 2017, 09:40 door Redactie, 8 reacties

Intel heeft een waarschuwing afgegeven voor een ernstig beveiligingslek dat sinds 2008 in processors aanwezig is en waardoor systemen op afstand kunnen worden overgenomen. Zoals gisteren al gemeld bevindt de kwetsbaarheid zich in de Intel Active Management Technology (AMT), Standard Manageability (ISM) en Small Business Technology. Volgens Intel lopen consumentencomputers met een Intel-processor geen risico.

De chipgigant bevestigt dat de kwetsbaarheid zowel lokaal als op afstand kan worden aangevallen. In het geval van de Small Business Technology is de kwetsbaarheid niet op afstand aan te vallen. Intel heeft nu firmware-updates uitgebracht om het probleem te verhelpen. Deze update is nu aan fabrikanten van systemen en moederborden ter beschikking gesteld, zodat zij een patch onder hun gebruikers kunnen uitrollen.

Als de fabrikant van de computer of moederbord nog geen update heeft uitgebracht kan ervoor worden gekozen om de Local Manageability Service (LMS) uit te schakelen of te verwijderen. Dit voorkomt dat een aanvaller de kwetsbaarheid kan gebruiken om systeemrechten te krijgen. In het geval computers geen Intel AMT, Intel SBA of Intel ISM ondersteunen hoeven gebruikers geen actie te ondernemen.

Reacties (8)
02-05-2017, 11:21 door Anoniem
Voor gewone consumenten-computers zal er niet veel aan de hand zijn.
Het gaat om de z.g. vPro Intel chips die je kunt herkennen aan het etiket op je computer:
https://communities.intel.com/docs/DOC-5693
02-05-2017, 11:47 door Anoniem
Door Anoniem: Voor gewone consumenten-computers zal er niet veel aan de hand zijn.
Als ik Intel was zou ik ook eerst aandacht besteden aan zakelijke klanten, want die draaien Windows services. Doordat de aanwezigheid van zo'n service eenvoudig via het netwerk kan worden vastgesteld zijn deze computers nu meteen kwetsbaar, terwijl daar (betrekkelijk eenvoudig te implementeren) mitigerende maatregelen voor mogelijk zijn.

Feit is dat de AMT technologie gewoon in alle Intel chipsets zit en direct toegang heeft tot (mogelijk Intel only) netwerkkaarten.

Dat je met nmap et al geen luisterende poort ziet zegt niets. Het is een pure gok om te veronderstellen dat er geen sprake is van ongedocumenteerde "port knocking" (een speciale sequence in een netwerkpakketje) waarna netwerkverkeer (mogelijk alleen pakketjes die aan specifieke criteria voldoen) naar de AMT CPU worden geleid. Ik heb een sterk vermoeden dat die mogelijkheid bestaat, want alleen met zo'n systeem ben je totaal onafhankelijk van hoe erg een computer is gecompromitteerd om deze toch te kunnen re-imagen.

Reken maar dat ook de bad guys nu alles op alles zullen zetten om te zoeken naar zo'n backdoor, en dus dat de kans toeneemt dat ze die vinden - als deze bestaat.
02-05-2017, 12:53 door Anoniem
nu is het wachten op de intel-botnet...
niet te verwijderen, en bijna ondetecteerbaar...

thanks intel :)

~dodo
02-05-2017, 15:57 door [Account Verwijderd] - Bijgewerkt: 02-05-2017, 16:03
Betreft mijn ervaring met Windows en wel de Intel LMS service:

Volgens mij spreekt Intel zichzelf tegen.

Mijn constatering:
In het simpele Asus Vivo PC'tje dat ik gebruik zit een Intel 1,4 GHz. Celeron 2957U processortje.
Volgens mijn bescheiden mening is dat PC'tje een onbetwistbare 'consumentendoos', dus daar zou de LMS service zoals Intel stelt ontbreken; akkoord of niet?
De contradictie:
De LMS service was bij mij terug te vinden in de actieve lijst van Services (inmiddels
uitgeschakeld)

Screenshot: http://i.imgur.com/DOLS20j.jpg

Ik vertrouw het niet; kan niet voor anderen spreken maar ik suggereer dat het verstandig is dat iedereen met een 'Windows consumentendoos' beter via Taakbeheer controleert of er een nu verdachte Intel service actief is.

Dat Is vrij simpel en zal het hier nog een keer herhalen (het is tevens de handleiding om LMS uit te schakelen maar dat moet ieder maar voor zich weten)

Log in als Admin/beheerder,
Open Taakbeheer,
Zoek de 'Intel local Management Service',
Klik om open te vouwen,
Rechtsklik op Intel Management and Security Application Local Management Service,
Kies Open services,
Kies eigenschappen van Intel Management and Security Application Local management Service,
Kies tab Algemeen,
Kies bij opstarttype: uitgeschakeld,
Klik toepassen,
Klik ok,
Sluit alle vensters,
Sluit alle programma's,
Herstart.
02-05-2017, 19:43 door karma4
Door Anoniem: Als ik Intel was zou ik ook eerst aandacht besteden aan zakelijke klanten, want die draaien Windows services. .....Feit is dat de AMT technologie gewoon in alle Intel chipsets zit en direct toegang heeft tot (mogelijk Intel only) netwerkkaarten.
Het hele gedoe is bedoeld voor DATACENTERS ongeacht het OS wat er op gehost wordt. Je moet er het nodige voor doen om aan de praat te krijgen en er nut van te hebben. Gewoon zo min mogelijk handjes op de vloer.
https://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/default.htm
Het risico wat ik zie speelt dan binnen het datacenter waar de ene cloud machine de andere kan aanvallen. Gericht en
al als je weet waar wat te halen valt.

Thuismachines echt niet relevant die beginnen er niet aan hobby kent geen kosten met de besteedde tijd.
http://www.security-faqs.com/the-teddy-bear-email-hoax.html
02-05-2017, 21:31 door Anoniem

Het hele gedoe is bedoeld voor DATACENTERS ongeacht het OS wat er op gehost wordt. Je moet er het nodige voor doen om aan de praat te krijgen en er nut van te hebben. Gewoon zo min mogelijk handjes op de vloer.

onzin, deze feature is puur als backdoor voor de nsa bedoeld... beheer wordt op platform gedaan, niet op cpu... iLO, iDRAC etc.. en virtueel heeft vmware, citrix, kvm, etc ook genoeg...

er is geen enkele reden om een verlengkabel voor je wifi aansluiting te hebben...
03-05-2017, 15:00 door Anoniem
Lenovo heeft een pagina met getroffen modellen online gezet: https://support.lenovo.com/nl/nl/product_security/len-14963
~ Blondie
04-05-2017, 13:41 door Anoniem
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.