Первого мая 2017г. компанией Intel была опубликована информация о критической уязвимости (INTEL-SA-00075/ CVE-2017-5689) платформ Intel, имеющих функции Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) и Intel® Small Business Technology (SBT).

Уязвимость позволяет злоумышленнику получить привилегированный доступ к веб-интерфейсу управления Active Management Technology (AMT). Уязвимость актуальна для чипсетов Intel выпускаемыx с 2010 года, включая последние поколения Kaby Lake Core, с прошивками ME/AMT версий 6.х – 11.6.

Векторы атаки:

  • Удаленная эксплуатация. Злоумышленник может получить привилегированный удаленный доступ к веб-интерфейсу AMT/ISM.
  • Локальная эксплуатация. Злоумышленник, имея непривилегированный локальный доступ к системе, может повысить привилегии посредством развертывания и использования функций AMT/ISM/SBT.

Обновления безопасности

Компания Intel выпустила патч безопасности, закрывающий данную уязвимость. Но для установки данного патча необходимо, чтобы производитель оборудования (материнской платы, ноутбука, рабочей станции) интегрировал данный патч в новую версию прошивки. Для некоторых, уже неподдерживаемых систем, новые версии прошивок возможно не будут выпущены никогда.

Рекомендации

  • В качестве первичного экспресс-анализа произвести сканирование сети на предмет наличия открытых портов TCP:16992-16995, 623, 664 на рабочих станциях, серверах и других узлах сети.
  • Дополнительно необходимо проверить актуальность уязвимости для всех рабочих станций, серверов и других узлов сети, используя инструмент «INTEL-SA-00075 Discovery Tool», либо другие методы в соответствии с документом «INTEL-SA-00075 Detection Guide» https://downloadcenter.intel.com/download/26755.
  • Проверить доступность на сайте производителя вашего оборудования новой версии прошивки, исправляющей уязвимость (INTEL-SA-00075/ CVE-2017-5689). Установить в случае доступности.
  • Если новая версия прошивки недоступна, отключить функции AMT, ISM, SBM следуя руководству «INTEL-SA-00075 Mitigation Guide» https://downloadcenter.intel.com/download/26754.
  • Если отключение данных функций невозможно – ограничить доступ к данным машинам на сетевом уровне и/или заблокировать удаленный доступ к портам TCP:16992-16995, 623, 664. Следует иметь в виду, что это снизит риск только удаленной эксплуатации уязвимости.
Материалы по теме
  • Рынок ИБ по итогам 2018 года: оценка «Информзащиты»

    Мы подготовили для вас отчёт, посвященный оценке объемов российского рынка информационной безопасности в 2018 году.

  • BlueKeep – WannaCry возвращается?

    Одна из самых известных атак последних лет WannaCry стала возможной благодаря уязвимости EternalBlue. Тогда общий ущерб от атаки ​составил более 1 млрд. долларов и поразил от 200 тыс. до 300 тыс. компьютеров по меньшей мере в 150 странах мира.

  • Анализ изменений в ПП №127

    Мы подготовили для вас сводный документ, в котором ознакомим с последними дополнениями и изменениям  в части закона о КИИ.