搜索
查看: 6032|回复: 41
收起左侧

[IT业界] Intel是这样说ME漏洞的

  [复制链接]
kxmp
发表于 2017-12-8 16:03:03 | 显示全部楼层 |阅读模式
本帖最后由 kxmp 于 2017-12-8 16:16 编辑

说简单了就是带有什么什么危险功能(amt)
的这个系列的主板 才受影响. (现在笔记本很多都有这个. intel免费送你的.)
台式机! 台式机就算了 intel不送你.

This includes scenarios where a successful attacker could:

Impersonate the ME/SPS/TXE, thereby impacting local security feature attestation validity.
Load and execute arbitrary code outside the visibility of the user and operating system.
Cause a system crash or system instability.
For more information, please see this Intel Support article
If the INTEL-SA-00086 Detection Tool reported your system being vulnerable, please check with your system manufacturer for updated firmware.  Links to system manufacturer pages concerning this issue can be found at http://www.intel.com/sa-00086-support.

Note: CVEs referenced in this advisory require Local or Physical access to the system potentially being exploited (AV:L in the CVSSv3 Vectors column) with the exception of CVE-2017-5712. CVE-2017-5712 is potentially exploitable over a network (AV:N).
注意 这次cve提到的这个警报 他需要本地或者物理访问系统 去利用这个漏洞
除了这个 CVE-2017-5712. CVE-2017-5712 他可以通过网络来利用漏洞

那我们来看看他具体是什么
nist
https://nvd.nist.gov/vuln/detail/CVE-2017-5712

Buffer overflow in Active Management Technology (AMT) in Intel Manageability Engine Firmware 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 allows attacker with remote Admin access to the system to execute arbitrary code with AMT execution privilege.

在intel me固件里面的 amt技术缓冲区溢出 从8-11.2 允许有远程管理员权限的攻击者  运行这个带有amt提权的代码.


Intel原话这样说的 关于这个网络方面的漏洞
他可以通过一个带有有效intel me管理密码的 网络连接来触发漏洞
这个漏洞不可以被触发 如果没有amt管理员密码.
但是要有amt密码才可以.

The vulnerability identified in CVE-2017-5712 is exploitable remotely over the network in conjunction with a valid administrative Intel® Management Engine credential. The vulnerability is not exploitable if a valid administrative credential is unavailable.

https://www.intel.com/content/ww ... 25619/software.html

说简单了就是那个开amt控制的服务器机组的管理员的密码.
而且还是控制机才有这个 其他人都没这个.

除了这个漏洞之外 其他都必须要有物理访问才可以
物理访问 = 编程器出场
如果主板没开flash写保护
需要os r0权限 写固件.

那me补丁打完了?
黑客来个版本倒退 刷回去 这有意义么?
你能升级 别人指不定能降级....
有些主板怎么找不到bios刷写保护呢....

https://nvd.nist.gov/vuln/detail/CVE-2017-5712
https://securitytracker.com/id/1039852


评分

参与人数 2经验 +22 分享 +1 人气 +2 收起 理由
JAYSIR + 2 好像有点复杂,谢谢科普
Tarchia + 22 + 1

查看全部评分

kxmp
 楼主| 发表于 2017-12-8 19:09:08 | 显示全部楼层

ME漏洞要刷bios才能触发

本帖最后由 kxmp 于 2017-12-8 19:15 编辑
On hardware systems that have enabled Flash Descriptor write protections, a physically local user can exploit the vulnerabilities in CVE-2017-5705, CVE-2017-5708, and CVE-2017-5711. On systems that have not enabled Flash Descriptor write protections, a local user without physical access can exploit those vulnerabilities.

The attacker gains physical access by manually updating the platform with a malicious firmware image through flash programmer physically connected to the platform’s flash memory. Flash Descriptor write-protection is a platform setting usually set at the end of manufacturing. Flash Descriptor write-protection protects settings on the Flash from being maliciously or unintentionally changed after manufacturing is completed.

要用编程器来写入恶意代码 如果板子开了bios保护.
这个说法 肯定是板子没跳线保护 或者bios里面有flash保护的.
现在出来了一种新的保护方式....

If the equipment manufacturer doesn't enable Intel-recommended Flash Descriptor write protections, an attacker needs Operating kernel access (logical access, Operating System Ring 0). The attacker needs this access to exploit the identified vulnerabilities by applying a malicious firmware image to the platform through a malicious platform driver.

厂商没开那个的话 而且你的主板没法手动开启flash保护. (有的主板有这个功能 有的没有)
那直接操作系统 刷写bios你就中招了...


别以为什么打补丁要刷固件...
触发这个攻击照样要写下固件....

所以.. 咱们怎么查看主板是否开启了bios锁定之类的东西呢?

新造的板子很多都没这个保护设置了.
看起来是保护机制变化了 但是好像也没人知道怎么查看这个呢...

kxmp
 楼主| 发表于 2017-12-9 21:23:44 | 显示全部楼层
本帖最后由 kxmp 于 2017-12-9 21:33 编辑
f59375443 发表于 2017-12-9 21:19
然而没有解决方案啊

asus他们说最终在明年1月
amt的那个问题 大部分已经有更新了.
me的4个漏洞这个问题... 少量有更新
https://www.intel.com/content/ww ... y-announcement.html
https://www.intel.com/content/ww ... 25619/software.html

这2个页面 往下拉 里面有oem厂商链接
里面有更新.
蓝胖纸
发表于 2017-12-8 16:19:18 | 显示全部楼层
所以还是没有解决嘛
kxmp
 楼主| 发表于 2017-12-8 16:25:35 | 显示全部楼层
本帖最后由 kxmp 于 2017-12-8 23:08 编辑
蓝胖纸 发表于 2017-12-8 16:19
所以还是没有解决嘛

不知道呢....
2017-12-08 22:42:58

目前这个情况是乱七八糟的
amt自己爆漏洞了
然后me又爆出漏洞 可以利用amt特性来窃取信息之类的.

me一共好像是4个漏洞 2个利用amt
amt自己独立一个 然后这就是5个漏洞.
txe和sps又有安全问题. 这个不怎么常用. sps主要是服务器系列板子才有 应该比amt更稀有有些.

sa75是 amt ism sbt这几个特性的主板受影响
Active Management Technology (AMT), Intel® Standard Manageability (ISM) or Intel® Small Business Technology (SBT)

总的来说 目前情况半解决.
amt的是很多笔记本受了影响. 这应该是商务系列的主板.
amt单独的这个漏洞 me已经更新了. 但是还是不怎么全.
但是me的乱七八糟漏洞 也是乱七八糟笔记本受影响....

比如目前asus网站上 通报的是 一些笔记本
和商务台式机.
影响范围比较少 (单纯amt) 代号sa 00075
https://www.asus.com/News/uztEkib4zFMHCn5r

然后me的4个漏洞 影响范围很大.  代号 sa 00086

https://www.asus.com/News/q5R9EixxfAqo1anZ

ruancm
发表于 2017-12-8 16:55:11 | 显示全部楼层
台式机没这漏洞?不是说6开始好几个系列都有吗,这还分台式还是本子?
驭龙
发表于 2017-12-8 16:56:17 | 显示全部楼层
我是相信楼主,还是因特尔?楼主说AMT才有漏洞,没有AMT功能的,就没有问题。

而我的一体机是ME 11.6固件,不支持AMT技术的主板,因特尔工具检测有漏洞,信谁?
QQ拼音截图20171208164735.jpg

另外,我五年前的一体机是低版本的ME固件,二代处理器,就没有检测到漏洞
kxmp
 楼主| 发表于 2017-12-8 17:08:49 | 显示全部楼层
本帖最后由 kxmp 于 2017-12-8 17:16 编辑
驭龙 发表于 2017-12-8 16:56
我是相信楼主,还是因特尔?楼主说AMT才有漏洞,没有AMT功能的,就没有问题。

而我的一体机是ME 11.6固 ...

2个虽然都有

但是触发漏洞要求刷bios要求用编程器到你家去
或者系统里面刷


可这就让我想起bioskit了
现在好像不是所有主板都有bios保护吧.....
那你说这个怎么办呢...

我从头到尾好像没说只有amt有漏洞吧.
我单纯说的amt有这个问题.

我一开始就说了me是独立运行的子系统
意思就是说他有漏洞也正常


然后你说 他竟然内核有漏洞 那很危险不是么?
远程执行代码好不好!! 危急!!!

我说 远程代码又能怎样 有漏洞你没法触发怎么办?

唯一一个能网络走过来的就是amt的漏洞
其他me的要求物理权限或者本地访问.

那到了本地访问 你没bios锁的话 me修好了 又来个什么bios之类的病毒怎么办...
bios随便刷 有没有漏洞我感觉都没意义了.
而且me漏洞 intel明确说要写入东西到bios里面才可以触发.

kxmp
 楼主| 发表于 2017-12-8 17:11:25 | 显示全部楼层
ruancm 发表于 2017-12-8 16:55
台式机没这漏洞?不是说6开始好几个系列都有吗,这还分台式还是本子?

我可没说没有
下面不是说了 其他漏洞要用编程器
或者系统里面直接刷bios

然后我就在想 这bios随便刷 me漏洞有什么意义....
bios病毒也不是没有
ruancm
发表于 2017-12-8 17:27:14 | 显示全部楼层
台式机! 台式机就算了 intel不送你

我误解了?
kxmp
 楼主| 发表于 2017-12-8 17:40:37 | 显示全部楼层

amt也要都是lan才能触发好吧.... (amt之外要刷bios触发 到了刷bios 我感觉什么都没意义了.)

这些漏洞都有很大局限性.
amt要控制机的管理员才可以触发
amt对固件版本影响最广
但是一般都是只有内网能进来

其他me漏洞 要刷bios刷进去恶意代码....

某龙老在那里扯什么 r -3啊r -3
独立的子系统 都不在你os控制范围内
再大的漏洞你怎么触发?!?!
远程执行代码 很危险 而且运行在r -3 用户都检测不到.
这也仅限攻击已经完成. 可是攻击怎么开始呢?
os都接触不到r -3 你真信这漏洞能影响你?

intel也说这个要bios触发 无论如何要写bios
如果上升到bios问题 没有bios锁 我觉得这个漏洞你打完了 效果也不大

kxmp
 楼主| 发表于 2017-12-8 18:01:59 | 显示全部楼层
本帖最后由 kxmp 于 2017-12-8 18:31 编辑

严格的讲 一大堆都有问题 但是amt绝对有问题. amt影响最广
me次之 然后me之外 还有其他的....

Intel® Management Engine (Intel® ME)
Intel® Trusted Execution Engine (Intel® TXE)
Intel® Server Platform Services (SPS)
SPS也受影响

amt爆漏洞了
me也爆了几个
txe也有
sps也有....

这个漏洞真是太有趣了...


事实证明媒体在乱说话虽然有漏洞 但是也不是单个me一个....
amt有漏洞 me里面一半都是amt的 然后amt独立自己也有.
但是tex 和sps 怎么就没人提及


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-1-20 21:27 , Processed in 0.139477 second(s), 26 queries .

快速回复 返回顶部 返回列表