Der klarste Beitrag, den ich zu diesem Thema gesehen habe, ist der von Matthew Garrett (einschließlich der Kommentare).
Matthew hat jetzt ein Tool veröffentlicht, mit dem Sie Ihr System lokal überprüfen können:Erstellen Sie es, führen Sie es aus mit
sudo ./mei-amt-check
und es wird gemeldet, ob AMT aktiviert und bereitgestellt ist, und wenn ja, die Firmware-Versionen (siehe unten). Die README enthält weitere Details.
Um Ihr Netzwerk auf potenziell anfällige Systeme zu scannen, scannen Sie die Ports 623, 624 und 16992 bis 16993 (wie in Intels eigenem Minderungsdokument beschrieben); zum Beispiel
nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24
scannt das 192.168.1/24-Netzwerk und meldet den Status aller Hosts, die antworten. Die Möglichkeit, sich mit Port 623 zu verbinden, könnte falsch positiv sein (andere IPMI-Systeme verwenden diesen Port), aber jeder offene Port von 16992 bis 16995 ist ein sehr guter Indikator für aktiviertes AMT (zumindest wenn sie angemessen reagieren:mit AMT, das heißt eine HTTP-Antwort auf 16992 und 16993, letzteres mit TLS).
Wenn Sie Antworten auf den Ports 16992 oder 16993 sehen, stellen Sie eine Verbindung zu diesen her und fordern Sie / an Bei Verwendung von HTTP wird eine Antwort mit einem Server zurückgegeben Zeile mit „Intel(R) Active Management Technology“ auf Systemen mit aktiviertem AMT; dieselbe Zeile enthält auch die Version der verwendeten AMT-Firmware, die dann mit der Liste in Intels Empfehlung verglichen werden kann, um festzustellen, ob sie anfällig ist.
In der Antwort von CerberusSec finden Sie einen Link zu einem Skript, das das Obige automatisiert.
Es gibt zwei Möglichkeiten, das Problem „richtig“ zu beheben:
- aktualisieren Sie die Firmware, sobald der Hersteller Ihres Systems ein Update bereitstellt (falls jemals);
- Vermeiden Sie die Verwendung des Netzwerkanschlusses, der AMT bereitstellt, entweder durch Verwendung einer nicht AMT-fähigen Netzwerkschnittstelle auf Ihrem System oder durch Verwendung eines USB-Adapters (viele AMT-Workstations, wie C226 Xeon E3-Systeme mit i210-Netzwerkanschlüssen, haben nur eine AMT-fähige Netzwerkschnittstelle – der Rest ist sicher; beachten Sie, dass AMT über Wi-Fi funktionieren kann, zumindest unter Windows, sodass die Verwendung von integriertem Wi-Fi auch zu einer Kompromittierung führen kann).
Wenn keine dieser Optionen verfügbar ist, befinden Sie sich im Minderungsgebiet. Wenn Ihr AMT-fähiges System noch nie für AMT bereitgestellt wurde, sind Sie einigermaßen sicher; Die Aktivierung von AMT kann in diesem Fall anscheinend nur lokal erfolgen und erfordert, soweit ich das beurteilen kann, die Verwendung der Firmware oder Windows-Software Ihres Systems. Wenn AMT aktiviert ist, können Sie neu starten und die Firmware verwenden, um es zu deaktivieren (drücken Sie Strg P wenn die AMT-Meldung während des Bootens angezeigt wird).
Obwohl die Privilegien-Schwachstelle ziemlich unangenehm ist, scheinen die meisten Intel-Systeme nicht wirklich betroffen zu sein. Für Ihre eigenen Systeme, auf denen Linux oder ein anderes Unix-ähnliches Betriebssystem ausgeführt wird, erfordert die Eskalation wahrscheinlich physischen Zugriff auf das System, um AMT überhaupt zu aktivieren. (Windows ist eine andere Geschichte.) Auf Systemen mit mehreren Netzwerkschnittstellen, wie Rui F. Ribeiro darauf hingewiesen hat, sollten Sie AMT-fähige Schnittstellen genauso behandeln wie jede Verwaltungsschnittstelle (IPMI-fähig oder die Host-Schnittstelle). für einen VM-Hypervisor) und isolieren Sie ihn in einem Verwaltungsnetzwerk (physisch oder VLAN). Das können Sie nicht sich auf einen Host verlassen, um sich selbst zu schützen:iptables usw. sind hier wirkungslos, weil AMT Pakete sieht, bevor das Betriebssystem es tut (und AMT-Pakete für sich behält).
VMs können die Sache verkomplizieren, aber nur in dem Sinne, dass sie AMT verwirren und somit verwirrende Scan-Ergebnisse erzeugen können, wenn AMT aktiviert ist. amt-howto(7) gibt das Beispiel von Xen-Systemen, bei denen AMT die Adresse verwendet, die einer DomU über DHCP gegeben wurde, falls vorhanden, was bedeutet, dass ein Scan AMT auf der DomU aktiv zeigen würde, nicht auf Dom0 ...
Das einfache Erkennen der offenen Ports für diesen Dienst ist unzureichend, es zeigt nicht an, ob die Version betroffen ist oder nicht. Unser Team hat ein Python-Skript erstellt, das auf unserem Github verfügbar ist:CerberusSecurity/CVE-2017-5689, das erkennt, ob ein Zielsystem anfällig für Remote-Angriffe ist.
Beispielverwendung:
python CVE_2017_5689_detector.py 10.100.33.252-255
Dies sollte es Ihnen ermöglichen, zu überprüfen, ob Sie aus der Ferne ausnutzbar sind. Falls Sie interessiert sind, haben wir unter http://cerberussec.org/ auch einen kurzen Blog-Beitrag mit unserer Sicht auf diese Schwachstelle geschrieben.
Intel hat Tools für Linux unter:Linux Detection and Mitigation Tools
es gibt einen Fork davon bei GITHUB