Jak vzdáleně hackovat počítače pomocí nezabezpečených čipů od Intelu: Stačí použít prázdný ověřovací řetězec

Úžasný...

Pojďme si o tom povídat, bavme se o tom, měli byste použít test Intelu, abyste zjistili, zda je váš systém ohrožen.

https://downloadcenter.intel.com/download/26755

Rozbalte archiv a spusťte aplikaci Intel-SA-00075-GUI

Pokud jde o AMT, deaktivujte jej pomocí tohoto nástroje:

https://github.com/bartblaze/Disable-Intel-AMT

Stáhněte si archiv, rozbalte jej a spusťte: DisableAMT.exe

Tady to máte, ti nejparanoidnější mohou také blokovat porty uvedené v článku; )

Jak vzdáleně hackovat počítače pomocí nezabezpečených čipů od Intelu: Stačí použít prázdný ověřovací řetězec

Provozujte systémy pomocí vPro a AMT

5. května 2017 v 19:52, Chris Williams

Ponoření do kodexu

Počítače, které používají zranitelné čipové sady Intel, můžete vzdáleně ovládat a ovládat tak, že jim pošlete prázdné ověřovací řetězce.

Čtete správně. Když máte odeslat hash hesla, pošlete nula bajtů. Nic. Nada. A budete odměněni výkonným nízkoúrovňovým přístupem k hardwaru zranitelné jednotky přes síť – nebo přes internet, pokud je rozhraní pro správu obráceno k veřejnému pásmu.

Pamatujte si to příště, až Intel, mezinárodní polovodičový gigant v hodnotě 180 miliard dolarů, bude mluvit o důležitosti bezpečnosti.

Pro rekapitulaci: Intel nabízí sadu nástrojů pro vzdálenou správu nazvanou AMT pro své procesory široké řady používaných v podnicích; tento software je součástí sada vPro Chipzilla a funguje na úrovni firmwaru, pod a mimo dohled Windows, Linuxu nebo jakéhokoli operačního systému, který používáte. Kód je spuštěn na tajném počítači ve vašem počítači, který má úplnou kontrolu nad hardwarem a hovoří přímo se síťovými porty, což umožňuje vzdálené ovládání zařízení nezávisle na jakémkoli operačním systému a aplikacích, které jsou nebo nejsou spuštěny nejvyšší úroveň.

AMT je tedy navrženo tak, aby umožnilo správcům IT vzdáleně se přihlásit do útrob počítačů, aby mohli restartovat havarovaný stroj, opravit a upravit operační systém, nainstalovat nový operační systém, získat přístup k virtuální sériové konzoli nebo získat přístup k úplné vzdálené ploše. přes VNC. Je to v podstatě boží režim.

Normálně je AMT chráněn heslem. Tento týden to vyšlo najevo toto ověřování by se dalo obejít, což by mohlo darebákům umožnit převzít systémy vzdáleně nebo jednou v rámci podnikové sítě. Tento kritický bezpečnostní problém byl označen CVE-2017-5689. Zatímco Intel opravoval svůj kód, lidé musí obtěžovat své dodavatele hardwaru o potřebné aktualizace, než budou moci pokračovat v instalaci svého systému.

Dnes jsme se dozvěděli, že je triviální zneužít tuto chybu a umožnit komukoli převzít kontrolu nad zranitelnými systémy bez hesla.

AMT je přístupná přes síť ve standardním webovém autentizačním rozhraní: služba naslouchá na portech 16992 a 16993. Při návštěvě těchto dveří pomocí prohlížeče se otevře výzva k přihlášení k zadání hesla a toto heslo je odesláno pomocí standardního HTTP Digest autentizace: Uživatelské jméno a heslo jsou hašovány pomocí nonce z firmwaru AMT spolu s několika dalšími bity metadat. Tato zkomolená odpověď je zkontrolována softwarem AMT, zda je platná, a pokud ano, je udělen přístup do rozhraní pro správu.

Ale pokud odešlete prázdnou odpověď, firmware je oklamán, aby si myslel, že je to správné, a nechá vás projít. To znamená, že pokud používáte proxy ke změně odpovědi na prázdný řetězec nebo jinak konfigurujete svůj prohlížeč tak, aby odesílal prázdné ověřovací odpovědi HTTP Digest, můžete obejít kontroly hesel.

V podstatě v zákulisí váš prohlížeč normálně odesílá něco takového službě AMT, která obsahuje hashovaný řetězec odpovědi obsahující uživatelské jméno, heslo a server nonce:

GET /index.htm HTTP/1.1 Host: 192.168.1.2:16992 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0 Přijmout: text/html,application/xhtml+xml application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.1.2:16992/logon.htm Připojení: keep-alive Autorizace: Uživatelské jméno Digest=»admin», realm=»Digest:048A0000000000000000000000000000», nonce=»Q0UGAAQEAAAV4M4iGF4+Ni5ZafuMWy9J»,3d4914»43454odpověď 159.huri=3 6a5fa91f801 a00000001d9d", qop=auth, nc =5, cnonce=»4011c5becaXNUMXeeaXNUMXc»

Podívejte se na to – pomocí proxy mezi vámi a zařízením nebo podobného nástroje pro úpravu provozu v pásmu, stačí změnit hash odpovědi tak, aby se odeslal:

GET /index.htm HTTP/1.1 Host: 127.0.0.1:16992 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0 Přijmout: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Připojení: keep-alive Autorizace: Digest username=»admin», realm =»Digest:048A0000000000000000000000000000», nonce=»qTILAAUFAAAjY7rDwLSmxFCq5EJ3pH/n», uri=»/index.htm», response=»», qop=00000001abce=60513 58858482c»

Všimněte si jak response je nyní prázdný. A přesto, a vyhazovač Intelu vám umožní projít, i když jste flashovali gatekeepera bez hesla bez – bez platné identity –:

HTTP/1.1 200 OK Datum: Čt, 4. května 2017 16:09:17 GMT Server: AMT Typ obsahu: text/html Kódování přenosu: chunked Cache-Control: žádná mezipaměť Platnost vyprší: Čt, 26. října 1995 00:00: 00 GMT

Pokud se ponoříte do firmwaru Intelu, zjistíte, že tento malý klenot sedí v srdciœjádro věci – strojový kód, který po dekompilaci do C vypadá asi takto:

if(strncmp(vypočítaná_odpověď, uživatelská_odpověď, délka_odpovědi)) deny_access();

Jak možná víte, tato standardní funkce porovnat ne víc než response_length bajtů ve dvou samostatných řetězcích, abyste zkontrolovali, zda jsou stejné nebo ne. Tyto dva řetězce jsou porovnány, zde je autentizační odpověď zaslaná osobou, která se pokouší připojit, (user_response) odezva očekávaná službou (computed_response). Pokud se dva řetězce shodují, funkce vrátí nulu, což znamená, že heslo je v pořádku podle očekávání a kód pokračuje v udělování přístupu. Pokud se řetězce liší, návratová hodnota funkce je nenulová, což znamená, že heslo je nesprávné a přístup je odepřen. Zatím je vše dobré.

Bohužel, response_length se počítá z user_response, takže pokud je zadán prázdný řetězec, délka je nula, nejsou kontrolovány žádné bajty, takže žádné bajty nejsou odlišné a - jak se očekávalo - strncmp()vrátí nulu, což znamená úspěch a udělení přístupu. Prázdný řetězec odpovědi se tedy vplíží jako platný, i když je ve skutečnosti neplatný.

Intel by měl skutečně zkontrolovat, zda jsou tyto dva řetězce stejně dlouhé, protože platné odpovědi jsou vždy 32bajtové hashe MD5.

Díky Embedi za reverzní inženýrství kódu [ PDF ] a také mít hlášeno prolomení v Intelu v březnu. Tenable také prosazuje tuto službu a je došel ke stejnému závěru tento týden.

Intel zveřejnil další informace zranitelnost zde, který obsahuje odkazy na nástroj pro kontrolu, zda je váš systém ohrožen, s kontaktními údaji podpory a seznam tipů pro snížení hrozby. Tento nástroj je zjevně určen pouze pro Windows; je tam poznámkainfo zde pro uživatele Linuxu.

Existuje také toto nástroj třetí strany, zde , pro zakázání AMT ze systému Windows.

Bylo nám řečeno, že chyba programování je přítomna v různých (ale ne všech) čipových sadách procesorů Intel od dnešní rodiny Kaby Lake až po křemík prodávaný v roce 2010: týká se především počítačů z podnikových, profesionálních pracovních stanic a malých serverů, spíše než zařízení určených pro normální lidé. Společnost Chipzilla však dnes připustila, že „spotřebitelé a malé podniky“ mohou skončit s používáním procesorů nyní se zranitelnou technologií.

Pokud ve své síti používáte procesor vPro a používáte AMT verze 6 až 11.6, jste určitě ohroženi výše uvedenou chybou zabezpečení. To má vliv také na produkty Intel Manageability Standard (ISM) a Small Business Technology (SBT). Doporučujeme použít obslužný program společnosti Intel ke kontrole, zda vás tato chyba v tichosti neohrožuje.

Jak závažná je tato chyba? Dost špatné. "Využití je triviální, maximálně pět řádků pythonu a může být proveditelné v příkazu shellu s jedním řádkem," řekl Vynálezce SSH Tatu Ylonen.

„Dává plnou kontrolu nad postiženými stroji, včetně možnosti číst a upravovat cokoli, což lze použít k instalaci trvalého malwaru. - Možná ve firmwaru - . A číst a upravovat data pro bezpečnostní servery, může deaktivovat funkce zabezpečení, vytvářet falešné přihlašovací údaje nebo získat kořenové klíče.

„Vypněte AMT ještě dnes, mobilizujte koho potřebujete z nejkritičtějších serverů: ...jako jsou servery Active Directory nebo certifikační autority, kritické databáze, servery pro podepisování kódu, firewally atd. -fire, bezpečnostní servery, SMH (pokud je povoleno) pro datová centra, pokud můžete, zablokujte nyní porty 16992, 16993, 16994, 16995, 623, 664 v interních firewallech.

„Pokud máte něco připojeno k internetu pomocí AMT, vypněte jej. A předpokládejme, že server již byl kompromitován. »

Naposledy jsme se dívali Shodan, bylo na veřejném internetu více než 8000 XNUMX potenciálně zranitelných systémů. Na interních firemních sítích by jich byly tisíce a tisíce.

Nyní hrajeme čekající hru: Ukažte nám opravy

Jak si tedy stojíme s těmito záplatami, které musí distribuovat prodejci strojů, pravděpodobně proto, že musí podepsat aktualizace firmwaru, než se dostanou do rukou zákazníků. Zeptali jsme se hlavních výrobců hardwaru Intel na jejich názory. S čím jsme se vrátili:

HP Inc

Mluvčí nám řekl, že výrobce PC bude kontaktovat své zákazníky s podrobnostmi o nezbytných aktualizacích firmwaru a dodal, že společnost HP Inc „úzce spolupracuje s Intelem na ověření a implementaci jejich aktualizace firmwaru a pomáhá našim zákazníkům zmírňovat potenciální rizika“. . » Úplný seznam dotčených produktů Je zde : Důsledkem je ohromující dopad produktů ovlivněných touto chybou.

"Tato zranitelnost je bezpečnostní chybou, která vznikla při vývoji a nasazení firmwaru pro správu Intel," řekl zástupce společnosti HP Inc. Registrovat.

„HP a Intel úzce spolupracují na zajištění vhodných záplat a nástrojů pro zákazníky a jejich specifická prostředí. Společnost HP koordinuje s našimi zákazníky plán nasazení. Naší nejvyšší prioritou je zmírnit bezpečnostní obavy a snížit složitost nasazení pro naše zákazníky. »

Očekává se, že záplaty dorazí koncem tohoto měsíce a v červnu, v závislosti na produktové řadě.

Lenovo

PC Slinger má zde důležitou stránku podrobně popisující, kterých strojů se to týká a kdy opravy pravděpodobně dorazí – většinou od 24. května do června. Jsou ovlivněny linky ThinkCentre, ThinkPad, Think Server a ThinkStation.

"Lenovo si je plně vědomo zranitelnosti firmwaru v některých verzích Intel Manageability a že to má dopad na některé Lenovo, stejně jako další PC zařízení a další výrobce," řekl nám mluvčí společnosti Lenovo.

Tým Lenovo Product Security Incident Response Team (PSIRT) úzce spolupracuje se společností Intel na trvalém řešení této chyby zabezpečení. Mezitím Lenovo doporučuje, aby všichni zákazníci provedli následující kroky ke zmírnění problému:

„Zranitelnost sítě lze zmírnit zrušením poskytování SKU Intel Manageability (AMT a ISM) nebo zakázáním technologie Intel Management v rámci Intel MEBx. Místní zranitelnost lze zmírnit zakázáním nebo odinstalováním služby Local Manageability Service (LMS) na Intel UGS Manageability (AMT, ISM a SBT). »

Tato místní chyba zabezpečení je skutečný problém, ale stranou: pokud máte v počítači přítomné a povolené vPro a AMT, ale neposkytované, stále vám hrozí eskalace místních oprávnění, jak je podrobně uvedeno vpůvodní recenze od Intelu.

Fujitsu

Japonský IT gigant má zde stránku se seznamem kroků, jak zkontrolovat, zda se vás to týká, a jak získat potřebné aktualizace firmwaru.

Hewlett Packard Enterprise

Nebyl k dispozici nikdo, kdo by se v případě potřeby vyjádřil nebo potvrdil dostupnost všech oprav.

Dell

Nebyl k dispozici nikdo, kdo by se v případě potřeby vyjádřil nebo potvrdil dostupnost všech oprav.

Cisco

Poskytovatel síťového a serverového zařízení tvrdí, že se to netýká. „Cisco PSIRT si je této záležitosti vědom,“ řekl nám mluvčí společnosti Cisco.

„V tuto chvíli naše vyšetřování nezjistilo žádnou dotčenou technologii Cisco. Pokud se objeví něco nového, o čem je třeba naše klienty informovat a na co reagovat, zajistíme, aby naši klienti věděli, co to je a jak to řešit prostřednictvím našeho již zavedeného procesu zveřejňování. »