Chyba v Intel vPro je fatální, reálná a přetrvá nejspíše roky
9.5.2017, Jan Vítek, aktualita
Minulý týden se provalilo, že v systému vPro procesorů Intel je chyba, která může útočnínkům sloužit jako brána ke všem systémům založeným už na první generaci procesorů Core. Nyní se ukazuje, že skutečně nejde o malý problém.
Postiženy jsou veškeré procesory Intel Core, které podporují technologii vPro, takže jde především o podnikové a serverové procesory. Konkrétně se chyba týká procesorů s podporou Active Management Technology, Small Business Technology a Standard Manageability a firmwarů verzí 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 a 11.6. To se tak týká všech generací Core od Westmere po Kaby Lake a Intel s tím až doposud nic nedělal.
Zmíněné technologie jsou využívány administrátory pod souhrnným označením Intel Management Engine pro ovládání a konfiguraci vzdálených systémů bez ohledu na to, zda na nich aktuálně běží OS. Právě to je jeden z velkých problémů. Útočník se může k cílovému počítači dostat, aniž by jeho uživatel měl možnost se dozvědět, že se tak stalo, neboť je OS takto zcela obejit. To se ale už pochopitelně vědělo minulý týden, ale bezpečnostní experti se přesto nemohli zcela shodnout na tom, jak závažná celá věc je.
Nyní se ukázalo, že existuje zcela zásadní chyba implementace AMT (Active Management Technology), která útočníkovi umožní přihlásit se k systému s právy administrátora, aniž by vůbec musel vyplňovat heslo. Systém přihlašování obyčejně funguje srovnáváním MD5 hashů hesel a při využití okna prohlížeče pro přihlášení to vypadá, že funguje normálně. Ovšem je možné poslat systému proxy požadavek, který systému nařizuje, aby porovnával jen několik znaků, nebo dokonce i jen nulový počet při srovnávání MD5 hashů. V takovém případě je systém zcela přístupný bez znalosti hesla.
Do této doby se našlo na 8500 podnikových systémů, které jsou touto chybou ohroženy a další tísíce nebo desetitisíce na odhalení teprve čekají. Intel přitom zatím ještě nepřišel s bezpečnostní záplatou, která má být připravena někdy příští týden. Bude přitom vyžadovat aktualizaci firmwaru, což je pochopitelné, když dané technologie nepracují pod OS, ale nezávisle na něm. A právě kvůli tomu můžeme očekávat, že i v dalších letech budou existovat systémy, které budou touto chybou ohroženy.
Zdroj: Tenable, Embedi
Zmíněné technologie jsou využívány administrátory pod souhrnným označením Intel Management Engine pro ovládání a konfiguraci vzdálených systémů bez ohledu na to, zda na nich aktuálně běží OS. Právě to je jeden z velkých problémů. Útočník se může k cílovému počítači dostat, aniž by jeho uživatel měl možnost se dozvědět, že se tak stalo, neboť je OS takto zcela obejit. To se ale už pochopitelně vědělo minulý týden, ale bezpečnostní experti se přesto nemohli zcela shodnout na tom, jak závažná celá věc je.
Nyní se ukázalo, že existuje zcela zásadní chyba implementace AMT (Active Management Technology), která útočníkovi umožní přihlásit se k systému s právy administrátora, aniž by vůbec musel vyplňovat heslo. Systém přihlašování obyčejně funguje srovnáváním MD5 hashů hesel a při využití okna prohlížeče pro přihlášení to vypadá, že funguje normálně. Ovšem je možné poslat systému proxy požadavek, který systému nařizuje, aby porovnával jen několik znaků, nebo dokonce i jen nulový počet při srovnávání MD5 hashů. V takovém případě je systém zcela přístupný bez znalosti hesla.
Do této doby se našlo na 8500 podnikových systémů, které jsou touto chybou ohroženy a další tísíce nebo desetitisíce na odhalení teprve čekají. Intel přitom zatím ještě nepřišel s bezpečnostní záplatou, která má být připravena někdy příští týden. Bude přitom vyžadovat aktualizaci firmwaru, což je pochopitelné, když dané technologie nepracují pod OS, ale nezávisle na něm. A právě kvůli tomu můžeme očekávat, že i v dalších letech budou existovat systémy, které budou touto chybou ohroženy.
Zdroj: Tenable, Embedi
