安全公告编号:CNTA-2017-0037
近期,国家信息安全漏洞共享平台(CNVD)收录了Intel AMT远程权限提升漏洞(CNVD-2017-05856 、对应CVE-2017-5689)。远程攻击者可绕过Intel AMT 权限验证,并通过芯片组关联功能远程控制主机系统,执行恶意操作,对产业链厂商产品及广大用户主机构成安全威胁。
一、漏洞情况分析
Intel AMT全称为INTEL ActiveManagement Technology(英特尔主动管理技术),这项预设的功能使用基于Web的控制页面,通过远程端口让管理员远程管理主机系统。由于Intel AMT可视为集成在芯片组中的嵌入式系统,其在操作系统关机时通过KVM(键盘、显示器、鼠标控制器)、IDE-R(IDE重定向)、SOL( LAN 上串行)等硬件接口管理主机系统。
近期互联网上公开了漏洞原理,存在漏洞的代码主要涉及:if(strncmp(computed_response,user_response, response_length))exit(0x99)。AMT服务使用HTTP摘要认证和Kerberos验证机制,服务器使用strncmp()函数对客户端发送的、服务端存储的两个字符串比较进行符合性匹配。由于Intel开发人员错误地把user_response而非computed_response的长度放到了strncmp()函数中,导致未授权的用户发送user_response空值(null)通过验证登陆系统。
CNVD对该漏洞综合评级为“高危”。
二、漏洞影响范围
漏洞影响到采用Intel AMT技术的产品,涉及Intel公司的Active Management Technology (AMT),Intel StandardManageability(ISM)和Intel Small BusinessTechnology(SBT)软件,版本包括6.x, 7.x, 8.x 9.x, 10.x,11.0,11.5和11.6,但不影响6.x以前及11.6以后的版本。此外,由于该技术在诸多品牌电脑主机上广泛采用,例如:惠普(HP)、联想(Lenovo)、戴尔(Dell)、富士通(Fujistu),因此,受到影响的PC终端用户也较为广泛。根据CNVD秘书处普查结果,互联网上可见且采用了AMT软件的主机数量为2.8万台,采用ISM软件的主机数量3400余台。
三、漏洞修复建议
英特尔已经发布了新的固件版本并供了指导文件以及提供检测主机或工作站是否运行了AMT, ISM或SBT的工具。详情请参阅:https://newsroom.intel.com/news/important-security-information-intel-manageability-firmware/。
对于不能升级固件的用户,国外安全研究者Bart Blaze在GitHub上也发布了关闭Windows系统ATM功能的工具(DisableAMT.exe),通过关闭Windows操作系统(x86和x64系统)中的AMT功能也能有效防范攻击威胁。
工具链接:https://github.com/bartblaze/Disable-Intel-AMT。
附:参考链接:
https://security-center.intel.com/advisory.aspx?intelid="INTEL-SA-00075&languageid=en-fr
http://www.cnvd.org.cn/flaw/show/CNVD-2017-05856