De kwetsbaarheid in Intels Active Management Technology van zakelijke processors blijkt relatief eenvoudig te misbruiken. Een authenticatiescherm voor beheer op afstand is te omzeilen door via een proxy een lege string in te voeren.

Voor een succesvolle aanval op de processors met vPro die AMT ingeschakeld hebben, is in principe alleen toegang tot de poorten 16992 en 16993 nodig, meldt Embedi, het beveiligingsbedrijf dat het lek oorspronkelijk bekendmaakte. Beheer op afstand verloopt via een webpanel, waar standaard een admin-account voor is.

Intel

De authenticatie hiervoor verloopt via digest authentication, maar bij het ontleden van de firmware kwam een programmeerfout aan het licht; de webserver accepteerde ook de invoer van een lege string voor authenticatie. "Waarschijnlijk is het een fout van een ontwikkelaar, maar daar zit de fout", schrijft Embedi in zijn white paper. Beveiligingsbedrijf Tenable kwam afzonderlijk tot dezelfde conclusie en bericht dat ook een deel van de correcte response-hash volstaat voor authenticatie.

Dit betekent niet dat een leeg invoerveld van de browser volstaat, aangezien digest authentication ervoor zorgt dat de browser dan nog steeds een hash van 32 karakters verstuurt. Met andere woorden, geen wachtwoord invoeren bij het webpaneel via de browser biedt nog geen toegang. De methode werkt alleen als via een proxy zoals Burp Suite een lege string bij de webserver ingevoerd wordt via poort 16992 en 16993.

De bedrijven benadrukken dat systemen zo op afstand over te nemen zijn, zelfs als ze uitstaan, maar nog wel aan het lichtnet en internet verbonden zijn. Ook stellen ze dat aanvallers hele besturingssystemen kunnen verwijderen of vervangen aangezien AMT onafhankelijk van het OS draait. Aanvallers kunnen muis, toetsenbord en monitor overnemen, het boot-apparaat aanpassen, het bios benaderen en op afstand systemen uit- en aanzetten, verduidelijkt Embedi.

Vorige week maakte Intel kwetsbaarheid CVE-2017-568 in Active Management Technology, Intel Standard Manageability en Intel Small Business Technology bekend. Het lek zit in de firmwareversies van 6.x van de Nehalem-generatie van processors tot en met 11.6 van Kaby Lake. De kwetsbare beheerfuncties maken deel uit van Intels vPro-platform voor zakelijke processors. Intels consumentenchips zijn niet getroffen.

Dell heeft inmiddels patches in het vooruitzicht gesteld voor verschillende OptiPlex-, Latitude- en Precision-systemen. Vanaf 17 mei komen de eerste bios-updates naar machines, via Dells supportsite.

Reacties mogelijk gemaakt door CComment