Intel AMT exploit

Tuurlijk, het is een serieuze impact als een aanvaller erop binnenkomt. Met AMT beheer je de volledige hardware op afstand alsof je 'physical access' hebt. Echter, volgens mij valt het allemaal wel mee met hoe je het kan mitigeren. De aanval waar het om gaat misbruikt een kwetsbaarheid in de webapplicatie die draait op poorten 16992/16993 (TCP HTTP/HTTPS). De AMT 'engine' heeft een eigen IP/TCP/HTTP stack en die moet wel geconfigureerd zijn op een IP dat bereikbaar is voor de aanvaller. Heb je hem op DHCP staan, dan krijgt je AMT een IP net zoals het OS dat draait op de PC en is het bereikbaar net als je PC/server.

Brilsmurfffje schreef op donderdag 11 mei 2017 @ 10:18:
Het grote nadeel van AMT is dat het niet zo 1,2,3 uit te schakelen is en het internet dus vol staat met mensen die het niet uitgeschakeld krijgen. Dus controleer je kwetsbaarheid met de tool op de gelinkte Intel pagina en tot die tijd wees bedacht.

Het was ook niet "1,2,3" ingeschakeld, hoor. Op alle systemen die ik heb gezien (Intel Desktop boards, Dell Optiplexen, Lenovo Thinkpads) stond standaard de netwerkconfiguratie op disabled ofwel ME in het geheel uitgeschakeld bij uitlevering.
Inschakelen betekende het configureren van een netwerkconfiguratie en het instellen van het admin wachtwoord. Net zoals een BIOS wachtwoord, dus. Dat gaat niet ongemerkt.

Waar ik vooral paniek vandaan zie komen is vanuit de community van alu-hoedjes. Er draait proprietary code op een extra CPU die zelfs draait als het systeem uit staat. Dát als concept in het geheel uitschakelen, dát is lastig uit te schakelen (erasen van ME firmware etc.).

Brilsmurfffje schreef op donderdag 11 mei 2017 @ 10:18:
Het topic kan gebruikt worden om ervaringen uit te wisselen en een overzicht te scheppen in de geraakte computer modellen. (veelal zakelijke machines maar ook Intel NUC's)

(Lang niet alle Intel NUCs hebben het, volgens mij maar enkele modellen.)

Die configuratie zo aanpassen dat een aanvaller er voor deze genoemde exploit er niet meer zo eenvoudig bij kan is redelijk eenvoudig. Wat ik gebruik is zelfs met de oudste versie van AMT (6.0) die kwetsbaar is al mogelijk: een VLAN instellen. Zo is het out-of-band management gesepareerd van het algemene netwerk.

Er zijn zo veel appliance-like apparaten die vulnerable zijn en die je niet zo makkelijk als je OS kan updaten. Die horen om die reden ook thuis in een eigen afgeschermd VLAN.

Wat er dan nog overblijft zijn de zorgen over andere aanvalsvectoren. Stel dat je binnen kan komen op een andere interface dan die HTTP webapplicatie...

Ik heb die discovery tool op mijn thinkpad t430 gerund en die geeft aan vulnarable. De thinkpad draait hier thuis als servertje onder windows 10. Staat verder niks van management software op. Hoe kan ik dat AMT uitschakelen ?

EDIT
Mijn servertje is toch helemaal niet toegankelijk vanaf buiten?

[ Voor 13% gewijzigd door -SaveMe- op 11-05-2017 14:44 ]

-SaveMe- schreef op donderdag 11 mei 2017 @ 14:42:
Hoe kan ik dat AMT uitschakelen ?

BIOS toch? Moet daar ook naar kijken, heb hier ook een vulnerable systeem.

Kan dat alleen via de BIOS? Standaard is een systeem op mijn interne netwerk toch helemaal niet zichtbaar/bereikbaar vanaf buiten ?

-SaveMe- schreef op donderdag 11 mei 2017 @ 17:32:
Kan dat alleen via de BIOS?

Dacht van wel, al heb ik er nog nooit naar gekeken.

-SaveMe- schreef op donderdag 11 mei 2017 @ 17:32:
Standaard is een systeem op mijn interne netwerk toch helemaal niet zichtbaar/bereikbaar vanaf buiten ?

Dat staat los van bovenstaande, hangt van hoe je router is ingesteld af.

Raven schreef op donderdag 11 mei 2017 @ 17:38:
[...]

Dacht van wel, al heb ik er nog nooit naar gekeken.


[...]

Dat staat los van bovenstaande, hangt van hoe je router is ingesteld af.

Ik heb niks erop draaien wat vanaf buiten benaderbaar is/moet zijn. Dan zou het met het risico wel mee vallen toch lijkt me?

-SaveMe- schreef op donderdag 11 mei 2017 @ 18:23:
[...]


Ik heb niks erop draaien wat vanaf buiten benaderbaar is/moet zijn. Dan zou het met het risico wel mee vallen toch lijkt me?

Die server in theorie niet vanaf het internet, maar als je visite krijgt met een besmette laptop/telefoon of zelf ergens een besmetting oploopt is je hele server ook 'compromised'

RGAT schreef op donderdag 11 mei 2017 @ 18:33:
[...]


Die server in theorie niet vanaf het internet, maar als je visite krijgt met een besmette laptop/telefoon of zelf ergens een besmetting oploopt is je hele server ook 'compromised'

Thanks!

Dat risico acht ik beduidend laag. Nog maar eens uitzoeken hoe ik dit helemaal kan voorkomen ..

Ik heb hier net in de bios van mijn dq77kb bordje zitten neuzen maar kan helemaal niets AMT-gerelateerd vinden. In de manual wordt er wel over gesproken, maar geen uitleg over hoe het aan/uit te zetten. Ik weet niet eens of het aan staat , alleen dat het systeem vulnarable is.

[ Voor 7% gewijzigd door Raven op 13-05-2017 15:17 ]