image

Intel patcht ernstige lekken in Management Engine

woensdag 18 juli 2018, 11:56 door Redactie, 10 reacties

Intel heeft opnieuw ernstige kwetsbaarheden in de Management Engine gedicht waardoor een aanvaller in het ergste geval code op de PCH-microcontroller had kunnen uitvoeren. De Intel ME is een microcontroller die geïntegreerd is in de Platform Controller Hub (PCH).

Doordat bijna alle communicatie via de processor en externe apparaten via de PCH verloopt, heeft de Intel ME toegang tot bijna alle data op de computer, zoals het netwerk, het besturingssysteem, het geheugen en de cryptografische engine. De ME kan zelfs op afstand worden gebruikt als de computer is uitgeschakeld. Elke Intel-processors sinds 2008 beschikt over de Management Engine. De code van de Management Engine is echter gesloten, waardoor het publiek de werking niet kan controleren. In het verleden zijn er al verschillende ernstige kwetsbaarheden in de Intel ME ontdekt.

Op 10 juli verschenen opnieuw updates voor vier kwetsbaarheden in de Intel ME. Op een schaal van 1 tot en met 10 wat betreft de ernst van de beveiligingslekken liggen die tussen de 6,4 en 8,1. Volgens securitybedrijf Positive Technologies is de kwetsbaarheid die aangeduid wordt als "CVE-2018-3627" eenvoudiger te misbruiken dan de kwetsbaarheden die Intel vorig jaar november in de Management Engine patchte. Een aanvaller hoeft alleen lokale toegang te hebben om de aanval uit te voeren, terwijl de eerder gepatchte ME-lekken alleen in bepaalde configuraties konden worden aangevallen.

"Het wordt nog erger met kwetsbaarheid CVE-2018-3628", aldus het securitybedrijf. Het gaat hier om een beveiligingslek waardoor het mogelijk is om op afstand willekeurige code uit te voeren in het AMT-proces van de Management Engine. Er is daarbij geen autorisatie vereist. "Dit is het nachtmerriescenario voor Intel-gebruikers dat nu realiteit is geworden", aldus Positive Technologies. Volgens Intel is de kwetsbaarheid alleen aan te vallen vanaf hetzelfde subnet. Gebruikers krijgen het advies om de beschikbare updates te installeren.

Reacties (10)
18-07-2018, 12:24 door buttonius
Volgens Intel is de kwetsbaarheid alleen aan te vallen vanaf hetzelfde subnet.
Security by coincidence dus.
18-07-2018, 12:37 door Anoniem
Deze kwetsbaarheden bij Intel processoren en hun Management Engine (ME) zijn een potentiële goudmijn voor malware schrijvers. De patches die hiertegen moeten beschermen verlopen, in ieder geval voor het MSI moederbord van mijn desktop, via BIOS updates. Die zijn wat omslachtiger dan typische Windows updates en kunnen, bij een haperende energievoorziening of foutieve uitvoering, voor verlies van de computer zorgen. Deze omstandigheden zullen ervoor zorgen dat zowel de typische thuisgebruiker als managers van bedrijven die continue moeten draaien ervoor zullen kiezen BIOS updates niet uit te voeren, waardoor hun systemen kwetsbaar zullen blijven. Want anti-spyware programma's zullen meestal achter de feiten aanlopen: men kan besmet zijn geraakt alvorens beveiligingsbedrijven de malware kunnen identificeren. Het lekken van encryptiesleutels via kwetsbaarheden van Intel processoren en hun ME, evenals vergelijkbare problemen bij hun concurrenten, vormen hiermee de grootste bedreiging voor effectief gebruik van encryptie en daarmee de algehele beveiliging van informatie.
18-07-2018, 13:38 door Anoniem
Door Anoniem: Deze kwetsbaarheden bij Intel processoren en hun Management Engine (ME) zijn een potentiële goudmijn voor malware schrijvers. De patches die hiertegen moeten beschermen verlopen, in ieder geval voor het MSI moederbord van mijn desktop, via BIOS updates
Als jij zelf thuis 1 desktop hebt dan moet je die ME gewoon UIT zetten. Die dient geen enkel doel.
Aan ME heb je alleen wat in een omgeving met talloze desktops die je remote wilt beheren tot het level van een
her-installatie van het OS zonder gebruikersinterventie.
Als je je PC normaal vaak "uit" zet is ME zelfs een stroomverspiller (deze zorgt dat de PC niet echt uit gaat).
18-07-2018, 14:02 door karma4
Door buttonius:
Volgens Intel is de kwetsbaarheid alleen aan te vallen vanaf hetzelfde subnet.
Security by coincidence dus.
Niet helemaal. Machinemagement is bedoeld voor gebruik in een datacenter dan wel beheer endpoints in een grotere organisatie. Niet bedoeld om over Internet te lopen.
18-07-2018, 15:09 door Anoniem
Door Anoniem:
Door Anoniem: Deze kwetsbaarheden bij Intel processoren en hun Management Engine (ME) zijn een potentiële goudmijn voor malware schrijvers. De patches die hiertegen moeten beschermen verlopen, in ieder geval voor het MSI moederbord van mijn desktop, via BIOS updates
Als jij zelf thuis 1 desktop hebt dan moet je die ME gewoon UIT zetten. Die dient geen enkel doel.
Aan ME heb je alleen wat in een omgeving met talloze desktops die je remote wilt beheren tot het level van een
her-installatie van het OS zonder gebruikersinterventie.
Als je je PC normaal vaak "uit" zet is ME zelfs een stroomverspiller (deze zorgt dat de PC niet echt uit gaat).
Bij mijn weten is er geen methode, waarmee een typische thuisgebruiker Intel's ME kan uitschakelen zonder risico van instabiliteit of zelfs schade aan zijn apparaat. Volgens u is de ME alleen nuttig in een omgeving met talloze desktops en laat juist dit soort omgeving, een werkomgeving dus, het meest interessant zijn voor b.v. industriële spionage.
18-07-2018, 15:31 door Anoniem
Door Anoniem:
Bij mijn weten is er geen methode, waarmee een typische thuisgebruiker Intel's ME kan uitschakelen zonder risico van instabiliteit of zelfs schade aan zijn apparaat.
Als het goed is kun je het uitzetten in de setup, wel is dit een aparte setup. Als je de machine start komt er even een
moment waar je een toets kunt indrukken voor ME configuratie, daar kun je het wachtwoord instellen en wat andere opties
en een van de opties is het ding gewoon uit te zetten. Dat kan alleen nadat je het wachtwoord veranderd hebt.
Als je dat gedaan hebt en je doet de PC uit dan reageert ie inderdaad niet meer op IP level.
(dit staat los van Wake-on-LAN wat je gewoon kunt gebruiken ook als ME uit staat)
18-07-2018, 18:31 door Anoniem
Door Anoniem:
Door Anoniem:
Bij mijn weten is er geen methode, waarmee een typische thuisgebruiker Intel's ME kan uitschakelen zonder risico van instabiliteit of zelfs schade aan zijn apparaat.
Als het goed is kun je het uitzetten in de setup, wel is dit een aparte setup. Als je de machine start komt er even een
moment waar je een toets kunt indrukken voor ME configuratie, daar kun je het wachtwoord instellen en wat andere opties
en een van de opties is het ding gewoon uit te zetten. Dat kan alleen nadat je het wachtwoord veranderd hebt.
Als je dat gedaan hebt en je doet de PC uit dan reageert ie inderdaad niet meer op IP level.
(dit staat los van Wake-on-LAN wat je gewoon kunt gebruiken ook als ME uit staat)

nu vertrouw je er wel op dat me zich werkelijk uitschakeld ipv zich gewoon onzichtbaar maakt , om maar niet over de hoigst waarschijnlijke backdoors te spreken, beter kun je software als me cleaner gebruiken om de network stack uit me te verwijderen.
18-07-2018, 19:38 door karma4
Door Anoniem:
Bij mijn weten is er geen methode, waarmee een typische thuisgebruiker Intel's ME kan uitschakelen zonder risico van instabiliteit of zelfs schade aan zijn apparaat. Volgens u is de ME alleen nuttig in een omgeving met talloze desktops en laat juist dit soort omgeving, een werkomgeving dus, het meest interessant zijn voor b.v. industriële spionage.
Daarom moet jet dat verkeer buiten de deur houden.van je eigen netwerk en geen onbekende apparatuur op het netwerk toelaten.
18-07-2018, 19:54 door Anoniem
Door karma4:
Door buttonius:
Volgens Intel is de kwetsbaarheid alleen aan te vallen vanaf hetzelfde subnet.
Security by coincidence dus.
Niet helemaal. Machinemagement is bedoeld voor gebruik in een datacenter dan wel beheer endpoints in een grotere organisatie. Niet bedoeld om over Internet te lopen.

"Internet" is niet het punt. Zo'n management subnet wil je wel degelijk gerouteerd kunnen bereiken.
Een datacenter kan groot zijn, en je wilt geen enorm groot L2 subnet hoeven maken voor dat soort management kaartjes om te delen met toolservers.

Natuurlijk wil je dat netwerk nog steeds niet over Internet laten lopen, maar groter dan "lokaal subnet" is een normale functionele eis.

OOB kaarten kunnen dus prima met een subnet mask + gateway router geconfigureerd worden.

Ik heb uit de advisory niet kunnen opmaken waarom Intel zegt dat de aanvaller in hetzelfde subnet moet zitten.
Mogelijk omdat een _ongeconfigureerde_ kaart wel in het subnet gevonden kan worden maar niet gerouteerd wordt .

Of mogelijk als het security issue zich op L2 afspeelt , (bv crafted oversized ethernet frame) maar niet door een normale router geproduceerd wordt uit een IP pakket .
Ik speculeer uit de vulnerability die ze omschrijven als een HTTP handler overflow dat er geen sprake is van een L2 issue , en ik verdenk ze er dus van om de term 'lokaal subnet' als - niet altijd terechte - geruststeller te gebruiken.
18-07-2018, 21:27 door Anoniem
Als het goed is kun je het uitzetten in de setup, wel is dit een aparte setup. Als je de machine start komt er even een
moment waar je een toets kunt indrukken voor ME configuratie, daar kun je het wachtwoord instellen en wat andere opties
en een van de opties is het ding gewoon uit te zetten.
Kun je vertellen hoe dat moet ik begrijp namelijk niet wat je bedoelt, heb je het over het bios ?
Ik heb nergens kunnen vinden hoe je ME kunt uitschakelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.