网络安全
当前位置: 首页 >> 网络安全 >> 漏洞病毒 >> 正文
关于Intel AMT远程权限提升漏洞的安全公告
作者:   来源:   日期:2017年06月23日 09:36

  

安全公告编号:CNTA-2017-0037

  

近期,国家信息安全漏洞共享平台(CNVD)收录了Intel AMT远程权限提升漏洞(CNVD-2017-05856 、对应CVE-2017-5689)。远程攻击者可绕过Intel AMT 权限验证,并通过芯片组关联功能远程控制主机系统,执行恶意操作,对产业链厂商产品及广大用户主机构成安全威胁。   

  

一、漏洞情况分析
Intel AMT
全称为INTEL ActiveManagement Technology(英特尔主动管理技术),这项预设的功能使用基于Web的控制页面,通过远程端口让管理员远程管理主机系统。由于Intel AMT可视为集成在芯片组中的嵌入式系统,其在操作系统关机时通过KVM(键盘、显示器、鼠标控制器)、IDE-R(IDE重定向)SOL LAN 上串行)等硬件接口管理主机系统。

  

近期互联网上公开了漏洞原理,存在漏洞的代码主要涉及:if(strncmp(computed_response,user_response, response_length))exit(0x99)AMT服务使用HTTP摘要认证和Kerberos验证机制,服务器使用strncmp()函数对客户端发送的、服务端存储的两个字符串比较进行符合性匹配。由于Intel开发人员错误地把user_response而非computed_response的长度放到了strncmp()函数中,导致未授权的用户发送user_response空值(null)通过验证登陆系统。   

  

CNVD对该漏洞综合评级为“高危”。   

  

二、漏洞影响范围

  漏洞影响到采用Intel AMT技术的产品,涉及Intel公司的Active Management Technology (AMT),Intel StandardManageability(ISM)Intel Small BusinessTechnology(SBT)软件,版本包括6.x, 7.x, 8.x 9.x, 10.x,11.0,11.511.6,但不影响6.x以前及11.6以后的版本。此外,由于该技术在诸多品牌电脑主机上广泛采用,例如:惠普(HP)、联想(Lenovo)、戴尔(Dell)、富士通(Fujistu),因此,受到影响的PC终端用户也较为广泛。根据CNVD秘书处普查结果,互联网上可见且采用了AMT软件的主机数量为2.8万台,采用ISM软件的主机数量3400余台。

  

三、漏洞修复建议

英特尔已经发布了新的固件版本并供了指导文件以及提供检测主机或工作站是否运行了AMT, ISMSBT的工具。详情请参阅:https://newsroom.intel.com/news/important-security-information-intel-manageability-firmware/
对于不能升级固件的用户,国外安全研究者Bart BlazeGitHub上也发布了关闭Windows系统ATM功能的工具(DisableAMT.exe),通过关闭Windows操作系统(x86x64系统)中的AMT功能也能有效防范攻击威胁。
工具链接:
https://github.com/bartblaze/Disable-Intel-AMT   

  

附:参考链接:

https://security-center.intel.com/advisory.aspx?intelid="INTEL-SA-00075&languageid=en-fr

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05856   

  

  

  

  

上一条:WebLogic漏洞 下一条:大数据分析与网络安全的化学反应——2017中国网络安全技术对抗赛在青岛落下帷幕

关闭

办公地点:第四教学楼东侧信息技术服务中心      办公时间:周一至周五 8:00-11:30   14:30-18:00(春夏)   14:00-17:30(秋冬)
*办理个人业务请携带本人身份证件
学校地址:山东省烟台市莱山区滨海中路191号
版权所有:山东工商学院信息技术服务中心