INTEL-SA-00086 Detection Tool

Hallo Tweakers,

Van Intel heb ik het volgende python script gedownload en gestart:
https://downloadcenter.intel.com/download/27150?v=t

Volgens de tool ben ik vulnerable:

python intel_sa00086.py
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.152
Scan date: 2018-01-12 13:45:25 GMT

*** Host Computer Information ***
Name: chris-N750HU
Manufacturer: Notebook
Model: N750HU
Processor Name: Intel(R) Core(TM) i7-7700HQ CPU @ 2.80GHz
OS Version: LinuxMint 18.2 sonya (4.14.11-041411-generic)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.6.26.1246
SVN: 1

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
is considered vulnerable for INTEL-SA-00086.
Contact your system manufacturer for support and remediation of this system.

For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
Intel Security Advisory Intel-SA-00086 at the following link:
https://www.intel.com/sa-00086-support


Ik heb gezocht naar firmware update maar mijn hardware leverancier heeft geen bios updates voor Intel-ME.

Wel vraag ik me af in hoeverre ik nu echt vulnerable ben. Als ik scan op de poorten waar Intel-ME actief zou moeten zijn dan zie ik dat deze gesloten zijn:

Nmap scan report for 192.168.2.11
Host is up (0.00031s latency).
PORT STATE SERVICE
623/tcp closed oob-ws-http
664/tcp closed secure-aux-bus
16992/tcp closed amt-soap-http
16993/tcp closed amt-soap-https
16994/tcp closed unknown
16995/tcp closed unknown

Dit is via een bedrade verbinding die ik normaal niet gebruik. Waar ik ook geen goed antwoord op kan vinden is in hoeverre deze vulnerability ook misbruikt kan worden via WIFI.

Mijn systeem is een koreaantje van het merk Clevo en het type N750HU en is een custom build laptop.

Bedankt Squ1zZy!

netstat -ant | grep '16993\|16992\|16994\|16995\|623\|664'

Geeft geen resultaat. Logisch want Intel ME werkt volledig transparant van het OS, dus de ip stack van het OS heeft dan ook geen enkele weet van de status van de Intel ME ip stack.


curl -v http://127.0.0.1:16992
* Failed to connect to 127.0.0.1 port 16992: Connection refused
Geen connectie mogelijk, had ik al via een browser geprobeerd.

En de nmap had ik ook al gedaan inderdaad
map scan report for localhost (127.0.0.1)
Host is up (0.000042s latency).
PORT STATE SERVICE VERSION
623/tcp closed oob-ws-http
664/tcp closed secure-aux-bus
16992/tcp closed amt-soap-http
16993/tcp closed amt-soap-https
16994/tcp closed unknown
16995/tcp closed unknown

Maar jah ik las dat de Intel ME zelfs actief is als de computer uit staat. Intel ME werkt volledig onafhankelijk van de rest van het systeem. Hoe werkt dat dan? Heeft een computer met Intel ME ook een ip-adres wanneer de machine uit staat? Of moet er eerst een WOL pakket worden verzonden? Misschien heeft de management engine een eigen ip adres?
Het is allemaal erg mistig en er staan allerlei tegenstrijdigheden op diverse fora.
Ik zit nu achter een NAT firewall maar op school waar allemaal hackende medestudenten rondlopen zit ik op het WIFI netwerk.

[ Voor 4% gewijzigd door dev0fx op 12-01-2018 16:05 ]

Waarschijnlijk is de Intel Detection Tool met de melding "This system is vulnerable." een storm in een glas water want ik denk niet dat mijn systeem remote acces via Intel ME ondersteund.

Als ik met F2 in het bios menu duik dan zie ik wel "ME FW Version 11.6.26.1246" staan.