Intel-systemen zonder AMT-support mogelijk ook kwetsbaar
Deze week werd er een ernstig beveiligingslek in de zakelijke processors van Intel onthuld, maar het bedrijf dat de kwetsbaarheid ontdekte stelt dat Intel-systemen zonder Active Management Technology (AMT) support mogelijk ook aangevallen kunnen worden.
Intel AMT is een feature van Intel-processoren met Intel vPro-technologie en maakt het mogelijk om systemen op afstand te beheren. Onderzoeker Maksim Malyutin van beveiligingsbedrijf Embedi ontdekte halverwege februari in probleem in deze technologie. Intel werd vervolgens op 3 maart ingelicht. Via de kwetsbaarheid kan een aanvaller toegang tot AMT-diensten krijgen, zoals het toetsenbord, video en muis, bios-instellingen en andere zaken.
In een korte blogposting over het beveiligingslek gaan de onderzoekers in op verschillende misvattingen die in de media verschenen. Zo is de kwetsbaarheid pas sinds 2010-2011 in Intel-processors aanwezig, en niet sinds 2008 zoals eerst werd gerapporteerd. Daarnaast bestempelen de onderzoekers het lek niet als een mogelijkheid om willekeurige code op systemen uit te voeren, maar als een "logische fout".
Specifieke details over het probleem wil Embedi echter nog niet geven. Een ander opvallend punt in de blogpost is dat het bedrijf laat weten dat er ook een kans is dat Intel-systemen zonder AMT-support kunnen worden aangevallen. Ook in een interview met Threatpost laat Embedi-cto Dmitry Evdokimov dit weten, maar gaat hier verder niet op in. Intel heeft updates voor de kwetsbaarheid uitgebracht. Het is nu aan fabrikanten om voor hun systemen en moederborden updates uit te rollen.
De AMT-diensten zijn via poort 16992 en 16993 bereikbaar. Hoewel Intel het lek deze week pas bekendmaakte, blijkt er al sinds vorige maand een stijging van het aantal poortscans op deze poorten te zijn. Evdokimov zegt hier niet op te kunnen reageren, maar stelt dat het mogelijk toeval is.
https://software.intel.com/en-us/documentation/amt-reference/manageability-ports
andere artikelen spreken namelijk over de north bridge...
bron: http://hackaday.com/2016/11/28/neutralizing-intels-management-engine/
~dodo
https://software.intel.com/en-us/documentation/amt-reference/manageability-ports
Kun je AMT verwijderen of deactiveren zonder verdere gevolgen of moet je het dan later opnieuw installeren?
Ik begrijp het allemaal niet.
Hoe moet je nu weten wat te doen als je weinig verstand van computers hebt?
Kun je AMT verwijderen of deactiveren zonder verdere gevolgen of moet je het dan later opnieuw installeren?
Ik begrijp het allemaal niet.
Hoe moet je nu weten wat te doen als je weinig verstand van computers hebt?
Als je geen verstand van auto's hebt, moet je niet zelf proberen je motor te tunen.
Als je geen verstand van computers hebt, zet je je OS op 'automatisch updaten' en wacht je gewoon de patches af. Voor dit en voor de tig andere problemen die hier langskomen.
of als je nou heel zenuwachtig wordt van dit verhaal, ga je iemand zoeken (en betalen) die wel verstand van computers heeft om een workaround , handmatige actie, bios instelling of whatever voor je op te zoeken.
Hoe moet je nu weten wat te doen als je weinig verstand van computers hebt?
Ten tweede met alle het zou kunnen verhalen niet in paniek raken.
Ten derde je neemt bij je internet provider een dienst af. Die mag er zijn best voor doen om dat soort verkeer niet door te laten (firewalls routers).
Doe dan het gewone huis en tuin en keukenwerk waarbij je alert blijft op vreemde zaken. Die prins uit Nigeria met miljoenen en dat soort dingen. Daar vallen ook al die prachtige apps onder die jouw systeem "verbeteren".
https://software.intel.com/en-us/documentation/amt-reference/manageability-ports
Nee, ik snap prima dat deze poorten normaliter niet open staan. Maar het kan nooit kwaad om ze(preventief) dicht te zetten op de router. Je weet per slot van rekening nooit wat de toekomst brengt. Die meuk zit in hardware gebakken. Met iedere nieuwe versie nemen de mogelijkheden en dus kwetsbaarheden toe. Dus wat nu niet kan kan straks wellicht wel. Vandaar.
Quote:
"The slightly worrying part is the Intel ME chip can access any memory location without the host Operating System knowing anything about it, and can also run a TCP/IP server on your network interface and bypass any firewall running"
https://en.wikipedia.org/wiki/Intel_AMT_versions
"The slightly worrying part is the Intel ME chip can access any memory location without the host Operating System knowing anything about it, and can also run a TCP/IP server on your network interface and bypass any firewall running"
https://en.wikipedia.org/wiki/Intel_AMT_versions
Niet dat je er als eindgebruiker veel aan zal doen, maar je weet nu wel dat als je serieus om je security geeft dat de spionnen met hun fieldcraft, met laptopjes zonder internetverbinding en al die andere paranoia, eigenlijk gewoon gelijk hebben. Dit is niet de enige reden overigens, maar wel een hele duidelijke illustratie dat we onze computers gewoon niet kunnen vertrouwen. Dat is dus iets dat je moet meewegen als je serieus over je eigen informatieveiligheid nadenkt. Tot op het punt dat als je dat niet meeweegt, je gewoon niet serieus bezig bent.
Een OS op die doos een firewall in het OS of als aparte VM zullen niets kunnen zien.
Een VM host beheert elk subsysteem en voor die kun je het hetzelfde verhaal ophangen. Elk probleem in een VM host systeem zal potentieel bij alles van de guest kunnen. Hoeveel fouten zijn er in bijvoorbeeld in VMWare of in Citrix of in ...
Volg de stroom naar buiten en daar kun je met een extern apparaat wel alles zien komen.
Als je met informatieveiligheid bezig gaat moet je juist dat soort zaken meenemen.
Natuurlijk is het goedkoper om niet in aparte apparatuur te investeren. De vraag is: wat zie je dan niet.
Natuurlijk is het goedkoper om redundancy te verwijderen. De vraag is: wat is het laatste zetje totdat alles omvalt.
Iedereen kan de code zien? De werking van AMT is juist een bolwerk van geslotenheid, toch? We klagen vaak over ongewenst gedrag van IoT apparaten. Er zijn inmiddels meerdere standaarden gedefinieerd waar dergelijke endpoints zich aan zouden moeten houden, zonder keurmerk of verplichtingen voor fabrikanten overigens.
Als er 1 plek is waar de CPU leveranciers vertrouwen zouden kunnen terugbrengen, dan is het door hun code openbaar te maken en inspecties/keuringen door een privacywaakhond toe te laten.
Gezien het politieke belang (spionage) zullen we dit niet gaan meemaken.
We zullen het moeten doen met logging van netwerkverkeer buiten het eigen netwerk om te kunnen zien dat ongevraagde pakketten rondsuizen. Dat wordt dus een netwerklogger tussen firewall en router in ;)
We zullen het moeten doen met logging van netwerkverkeer buiten het eigen netwerk om te kunnen zien dat ongevraagde pakketten rondsuizen. Dat wordt dus een netwerklogger tussen firewall en router in ;)
Ik had ook beide opties
- gesloten software, het zit wel goed want betrouwbare leverancier.
- open software, het zit wel goed want iedereen kan de code zien.
Het leidt tot het zelfde resultaat, geen interesse om te valideren dat het echt goed zit.
Een netwerklogger zit vaak al in de externe router http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/monitor_nsel.html je zal al die data ook nog moeten gaan analyseren .... big data.
Kun je AMT verwijderen of deactiveren zonder verdere gevolgen of moet je het dan later opnieuw installeren?
Ik begrijp het allemaal niet.
Hoe moet je nu weten wat te doen als je weinig verstand van computers hebt?
Mischien heb je hier wat aan, kun je lezen wat je kunt doen voor er een update is.
https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075%20Mitigation%20Guide-Rev%201.1.pdf
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.