[Lista Criptica] Vulnerabilitat Intel AMT

Delete this message

Reply to this message
Author: Jaume
Date:  
To: list_criptica
Subject: [Lista Criptica] Vulnerabilitat Intel AMT
Bona nit,

Com supose que moltes de vosaltres sabreu fa unes setmanes es va
publicar una vulnerabilitat del subsistema Intel AMT que permetia fer
una escalada de privilegis saltant-se la contrasenya. Aquest subsistema
és una tecnologia incorporada al firmware de les plaques Intel per a
administrar màquines remotament sense importar el sistema operatiu.
He trobat a la web alguns recursos per a poder afrontar la problemàtica
els que usem GNU/Linux per tal de detectar una posible activitat
d'aquest subsistema:
Sabent els ports que fa servir es pot monitoritzar l'activitat del
sistema amb:

netstat | egrep '16992|16993|16994|16995|623|664'
(no del tot fiable ja que AMT es independent del SO i es podria amagar
la connexió en cas que ens hagueren infectat fent servir la
vulnerabilitat)

o monitoritzar la nostra xarxa local amb:

nmap -p 16992,16993,16994,16995,623,664 <ip xarxa>
<ip xarxa> en alguns casos 192.168.0.1/24 o 192.168.1.1/24 depenent del
router. Recomanable fer-ho des d'altra màquina que no siga la que
vulguem comprovar.

A més, com sempre, Intel va treure el parxe per al firmware per als
fabricants i per tant per a Windows. I encara que molts fabricants,
sobretot portàtils no habiliten aquesta tecnologia, els usuaris de
GNU/Linux pareixia que ens quedàvem amb els pantalons baixats, fins el
dijous que van publicar la utilitat per diagnosticar i deshabilitar-ho
en Ubuntu:

https://downloadcenter.intel.com/download/26799/INTEL-SA-00075-Linux-De
tection-and-Mitigation-Tools?product=23549

Potser si no fem servir Ubuntu hi haja que compilar amb "make all" el
nostre executable.
ALERTA: aneu amb compte a l'hora d'executar la ferramenta per
deshabilitar ja que toca coses de la BIOS i encara que siga Intel el
que ho publica pot ser perillós.

Salut!

--
Jaumet ¯\_(ツ)_/¯
/------------------->
PGP fingerprint: EEB9 94C0 A6F7 C917 9504 602B 0C71 AF4E 6D6F 031D
\------------------->