Intel waarschuwt voor ernstig lek in processors
Intel heeft een waarschuwing afgegeven voor een ernstig beveiligingslek dat sinds 2008 in processors aanwezig is en waardoor systemen op afstand kunnen worden overgenomen. Zoals gisteren al gemeld bevindt de kwetsbaarheid zich in de Intel Active Management Technology (AMT), Standard Manageability (ISM) en Small Business Technology. Volgens Intel lopen consumentencomputers met een Intel-processor geen risico.
De chipgigant bevestigt dat de kwetsbaarheid zowel lokaal als op afstand kan worden aangevallen. In het geval van de Small Business Technology is de kwetsbaarheid niet op afstand aan te vallen. Intel heeft nu firmware-updates uitgebracht om het probleem te verhelpen. Deze update is nu aan fabrikanten van systemen en moederborden ter beschikking gesteld, zodat zij een patch onder hun gebruikers kunnen uitrollen.
Als de fabrikant van de computer of moederbord nog geen update heeft uitgebracht kan ervoor worden gekozen om de Local Manageability Service (LMS) uit te schakelen of te verwijderen. Dit voorkomt dat een aanvaller de kwetsbaarheid kan gebruiken om systeemrechten te krijgen. In het geval computers geen Intel AMT, Intel SBA of Intel ISM ondersteunen hoeven gebruikers geen actie te ondernemen.
Het gaat om de z.g. vPro Intel chips die je kunt herkennen aan het etiket op je computer:
https://communities.intel.com/docs/DOC-5693
Feit is dat de AMT technologie gewoon in alle Intel chipsets zit en direct toegang heeft tot (mogelijk Intel only) netwerkkaarten.
Dat je met nmap et al geen luisterende poort ziet zegt niets. Het is een pure gok om te veronderstellen dat er geen sprake is van ongedocumenteerde "port knocking" (een speciale sequence in een netwerkpakketje) waarna netwerkverkeer (mogelijk alleen pakketjes die aan specifieke criteria voldoen) naar de AMT CPU worden geleid. Ik heb een sterk vermoeden dat die mogelijkheid bestaat, want alleen met zo'n systeem ben je totaal onafhankelijk van hoe erg een computer is gecompromitteerd om deze toch te kunnen re-imagen.
Reken maar dat ook de bad guys nu alles op alles zullen zetten om te zoeken naar zo'n backdoor, en dus dat de kans toeneemt dat ze die vinden - als deze bestaat.
niet te verwijderen, en bijna ondetecteerbaar...
thanks intel :)
~dodo
Volgens mij spreekt Intel zichzelf tegen.
Mijn constatering:
In het simpele Asus Vivo PC'tje dat ik gebruik zit een Intel 1,4 GHz. Celeron 2957U processortje.
Volgens mijn bescheiden mening is dat PC'tje een onbetwistbare 'consumentendoos', dus daar zou de LMS service zoals Intel stelt ontbreken; akkoord of niet?
De contradictie:
De LMS service was bij mij terug te vinden in de actieve lijst van Services (inmiddels
uitgeschakeld)
Screenshot: http://i.imgur.com/DOLS20j.jpg
Ik vertrouw het niet; kan niet voor anderen spreken maar ik suggereer dat het verstandig is dat iedereen met een 'Windows consumentendoos' beter via Taakbeheer controleert of er een nu verdachte Intel service actief is.
Dat Is vrij simpel en zal het hier nog een keer herhalen (het is tevens de handleiding om LMS uit te schakelen maar dat moet ieder maar voor zich weten)
Log in als Admin/beheerder,
Open Taakbeheer,
Zoek de 'Intel local Management Service',
Klik om open te vouwen,
Rechtsklik op Intel Management and Security Application Local Management Service,
Kies Open services,
Kies eigenschappen van Intel Management and Security Application Local management Service,
Kies tab Algemeen,
Kies bij opstarttype: uitgeschakeld,
Klik toepassen,
Klik ok,
Sluit alle vensters,
Sluit alle programma's,
Herstart.
https://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/default.htm
Het risico wat ik zie speelt dan binnen het datacenter waar de ene cloud machine de andere kan aanvallen. Gericht en
al als je weet waar wat te halen valt.
Thuismachines echt niet relevant die beginnen er niet aan hobby kent geen kosten met de besteedde tijd.
http://www.security-faqs.com/the-teddy-bear-email-hoax.html
Het hele gedoe is bedoeld voor DATACENTERS ongeacht het OS wat er op gehost wordt. Je moet er het nodige voor doen om aan de praat te krijgen en er nut van te hebben. Gewoon zo min mogelijk handjes op de vloer.
onzin, deze feature is puur als backdoor voor de nsa bedoeld... beheer wordt op platform gedaan, niet op cpu... iLO, iDRAC etc.. en virtueel heeft vmware, citrix, kvm, etc ook genoeg...
er is geen enkele reden om een verlengkabel voor je wifi aansluiting te hebben...
~ Blondie
~ Blondie
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
