Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

AMT : Intel corrige une vieille faille critique dans des processeurs pour entreprises

Détecter, corriger, redémarrer
Logiciel 4 min
AMT : Intel corrige une vieille faille critique dans des processeurs pour entreprises
Crédits : Intel

Intel a publié hier un important bulletin de sécurité au sujet de deux failles présentes dans sa pile AMT (Active Management Technology). Elles sont désormais corrigées par un nouveau firmware, et même si elles ne touchent a priori que le monde de l’entreprise, il est recommandé d’y remédier au plus vite.

Il est rare qu’Intel avertisse d’une vulnérabilité dans l’un de ses produits. On en compte cette fois deux, dont une très sérieuse. Elles touchent trois produits, dont AMT, un ensemble de technologies que le fondeur fournit aux entreprises, offrant une longue liste de fonctionnalités de gestion, notamment pour la maintenance et la virtualisation.

Qu’est-ce que l’AMT ?

L’Active Management Technology est une pile prenant appui sur le Management Engine. Ce dernier est un petit microprocesseur que l’on trouve dans les processeurs Intel depuis une dizaine d’années. Quand AMT est active, elle communique par les ports 16992 et 16993 du réseau. La machine ne voit jamais ces paquets.

Dans le cadre d’un réseau d’entreprise configuré pour utiliser l’AMT, un administrateur peut se servir d’une console web pour diriger les machines compatibles. Il peut lancer diverses opérations, comme redémarrer une machine, installer un logiciel, effectuer une maintenance, etc.  L’accès à cette console web se fait grâce à un mot de passe, mais l’une des deux failles permet justement de le contourner.

Une sérieuse faille dans de nombreuses versions

Le Management Engine en lui-même n’est pas concerné, mais trois produits le sont : Active Management Technology, Small Business Technology et Standard Manageability. Toutes les versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 et 11.6 sont vulnérables, autrement dit presque toutes depuis presque dix ans. Les moutures précédant la 6.x et après la 11.6 ne sont donc pas vulnérables.

Bien que les trois produits soient touchés, l’attention se concentre sur AMT, qui est au centre des mécanismes de gestion. Exploitée, elle permettrait à un pirate de s’emparer des fonctions de gestion du parc informatique d'une entreprise. En outre, elle est exploitable à distance, ce qui en augmente évidemment la dangerosité.

Exploitation : surtout un risque pour les serveurs

La question de l’exploitation soulève cependant des voix dissonantes. Bien que le communiqué d’Intel publié hier soit clair sur les produits et versions concernés, il ne dit rien sur le danger réel couru par les entreprises, ni d’ailleurs qui peut être réellement touché.

Selon SemiAccurate, Matthew Garrett ou encore HD Moore, il semble bien que le souci ne soit bien exploitable qu’en entreprise, si l’Active Management Technology est activée et surtout réellement utilisée. Les portes ports 16992 et 16993 doivent donc être ouverts pour laisser passer les ordres émis par l’AMT.

Pour Moore, le risque concerne avant tout les serveurs, puisque ce sont les machines traditionnellement utilisées pour l’administration des postes. Selon lui, une requête spécifique envoyée sur le moteur de recherche Shodan lui a renvoyé environ 7 000 résultats, ce qui représenterait le nombre de serveurs disponibles. Selon lui également, il faut que le Local Manageability Service (LMS) de Windows soit également activé.

Le risque potentiel est très élevé

Même si le chiffre paraît faible, il ne faut pas oublier que pour un serveur vulnérable à distance, on peut trouver des dizaines, voire des centaines de machines rattachées. Le danger ne vient pas de l’attaque sur le serveur proprement dite, mais bien des droits que gagne le pirate sur le réseau s’il parvient à en prendre le contrôle.

Par ailleurs, un autre facteur rend cette faille particulièrement dangereuse : le temps. Techniquement, elle est exploitable depuis la première génération de processeurs Core chez Intel. On sait donc qu’Intel vient manifestement de la découvrir et de la corriger, mais pas si la vulnérabilité étant connue de tiers pendant tout ce temps. Ses détails pourraient donc être entre les mains de pirates depuis des années.

Les entreprises peuvent suivre la procédure mise en place par Intel pour détecter des firmwares éventuellement concernés par ces failles. Le fondeur a publié un outil de détection et une marche à suivre en cas de mise à jour nécessaire. La plus importante des deux brèches étant considérée comme critique, il est recommandé de procéder au plus vite aux manipulations nécessaires.

Notez que si les entreprises sont dans l'impossibilité d'installer un nouveau firmware rapidement, elles peuvent consulter un guide fourni par Intel pour atténuer les risques. Dans les grandes lignes, il y est recommandé de désactiver un certain nombre de services et composants (dont LMS) pour réduire autant que possible la surface d'attaque potentielle.

15 commentaires
Avatar de Firefly' Abonné
Avatar de Firefly'Firefly'- 02/05/17 à 09:50:52

je m'y connais très peu en admin sys, mais quel est l'intéret de cette technologie ? Pourquoi ne pas simplement utiliser les outils de gestions Linux/Windows ? ( vu que de toute façon il faut faire du spécifique pour la gestion des softwares ( et si ça se trouve ça marche pas sous Linux )

Avatar de yapa69 INpactien
Avatar de yapa69yapa69- 02/05/17 à 10:51:02

en gros, quand ton OS se plante, tu peux toujours prendre la main à distance

Avatar de tifounon Abonné
Avatar de tifounontifounon- 02/05/17 à 11:07:25

C'est un peu aussi au Poste de travail ce que sont HP iLO et Dell RAC au serveur. Tu peux vraiment gérer comme tu veux une machine.

Certains outils pro tel que Landesk Management Suite peuvent s'appuyer dessus (et c'est très puissant).

Avatar de JoePike INpactien
Avatar de JoePikeJoePike- 02/05/17 à 11:41:38

ça permet aussi d'interdire l'entrée en salle blanche des sys admin
:D

Avatar de PtiDidi Abonné
Avatar de PtiDidiPtiDidi- 02/05/17 à 11:46:00

Tu peux faire un parallèle avec le Wake-on-Lan : un truc qui répond à un besoin hyper spécifique.

Tu peux gérer une machine éteinte.
Ou dont l'OS n'a pas démarré à cause d'un soucis de disque par exemple
Ou dont la carte réseau à perdu son IP

Bref un outil qui sert en cas de merde inhabituelle quoi ^^

Avatar de alex.d. Abonné
Avatar de alex.d.alex.d.- 02/05/17 à 12:36:16

Encore un truc intrinsèquement mal fichu.
Il vaut largement mieux un bête ipmi sur un réseau privé, puis laisser l'OS gérer la sécurité sur la console ipmi. C'est rustique, mais au moins il n'y a pas de faille.
 

Avatar de GruntZ Abonné
Avatar de GruntZGruntZ- 02/05/17 à 13:05:50

alex.d. a écrit :

Encore un truc intrinsèquement mal fichu.
Il vaut largement mieux un bête ipmi sur un réseau privé, puis laisser l'OS gérer la sécurité sur la console ipmi. C'est rustique, mais au moins il n'y a pas de faille.

Par contre, il devient plus difficile de faire un double des clés pour la NSA ...

Avatar de Firefly' Abonné
Avatar de Firefly'Firefly'- 02/05/17 à 13:17:30

Ok, merci pour vos réponses ! Je vois mieux l'utilité du truc :) :inpactitude:

Édité par Firefly' le 02/05/2017 à 13:17
Avatar de tiret Abonné
Avatar de tirettiret- 02/05/17 à 14:45:23

Le vrai souci est que cet outil n'est pas désactivable ce qui fait que tout PC Intel a une backdoor avec les droits root sur la machine. Miam !

Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 02/05/17 à 15:33:56

tiret a écrit :

Le vrai souci est que cet outil n'est pas désactivable ce qui fait que tout PC Intel a une backdoor avec les droits root sur la machine. Miam !

C'est pire qu'une backdoor root.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2
  • Introduction
  • Qu’est-ce que l’AMT ?
  • Une sérieuse faille dans de nombreuses versions
  • Exploitation : surtout un risque pour les serveurs
  • Le risque potentiel est très élevé
S'abonner à partir de 3,75 €