AMT : Intel corrige une vieille faille critique dans des processeurs pour entreprises

AMT : Intel corrige une vieille faille critique dans des processeurs pour entreprises

Détecter, corriger, redémarrer

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

02/05/2017 5 minutes
15

AMT : Intel corrige une vieille faille critique dans des processeurs pour entreprises

Intel a publié hier un important bulletin de sécurité au sujet de deux failles présentes dans sa pile AMT (Active Management Technology). Elles sont désormais corrigées par un nouveau firmware, et même si elles ne touchent a priori que le monde de l’entreprise, il est recommandé d’y remédier au plus vite.

Il est rare qu’Intel avertisse d’une vulnérabilité dans l’un de ses produits. On en compte cette fois deux, dont une très sérieuse. Elles touchent trois produits, dont AMT, un ensemble de technologies que le fondeur fournit aux entreprises, offrant une longue liste de fonctionnalités de gestion, notamment pour la maintenance et la virtualisation.

Qu’est-ce que l’AMT ?

L’Active Management Technology est une pile prenant appui sur le Management Engine. Ce dernier est un petit microprocesseur que l’on trouve dans les processeurs Intel depuis une dizaine d’années. Quand AMT est active, elle communique par les ports 16992 et 16993 du réseau. La machine ne voit jamais ces paquets.

Dans le cadre d’un réseau d’entreprise configuré pour utiliser l’AMT, un administrateur peut se servir d’une console web pour diriger les machines compatibles. Il peut lancer diverses opérations, comme redémarrer une machine, installer un logiciel, effectuer une maintenance, etc.  L’accès à cette console web se fait grâce à un mot de passe, mais l’une des deux failles permet justement de le contourner.

Une sérieuse faille dans de nombreuses versions

Le Management Engine en lui-même n’est pas concerné, mais trois produits le sont : Active Management Technology, Small Business Technology et Standard Manageability. Toutes les versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 et 11.6 sont vulnérables, autrement dit presque toutes depuis presque dix ans. Les moutures précédant la 6.x et après la 11.6 ne sont donc pas vulnérables.

Bien que les trois produits soient touchés, l’attention se concentre sur AMT, qui est au centre des mécanismes de gestion. Exploitée, elle permettrait à un pirate de s’emparer des fonctions de gestion du parc informatique d'une entreprise. En outre, elle est exploitable à distance, ce qui en augmente évidemment la dangerosité.

Exploitation : surtout un risque pour les serveurs

La question de l’exploitation soulève cependant des voix dissonantes. Bien que le communiqué d’Intel publié hier soit clair sur les produits et versions concernés, il ne dit rien sur le danger réel couru par les entreprises, ni d’ailleurs qui peut être réellement touché.

Selon SemiAccurate, Matthew Garrett ou encore HD Moore, il semble bien que le souci ne soit bien exploitable qu’en entreprise, si l’Active Management Technology est activée et surtout réellement utilisée. Les portes ports 16992 et 16993 doivent donc être ouverts pour laisser passer les ordres émis par l’AMT.

Pour Moore, le risque concerne avant tout les serveurs, puisque ce sont les machines traditionnellement utilisées pour l’administration des postes. Selon lui, une requête spécifique envoyée sur le moteur de recherche Shodan lui a renvoyé environ 7 000 résultats, ce qui représenterait le nombre de serveurs disponibles. Selon lui également, il faut que le Local Manageability Service (LMS) de Windows soit également activé.

Le risque potentiel est très élevé

Même si le chiffre paraît faible, il ne faut pas oublier que pour un serveur vulnérable à distance, on peut trouver des dizaines, voire des centaines de machines rattachées. Le danger ne vient pas de l’attaque sur le serveur proprement dite, mais bien des droits que gagne le pirate sur le réseau s’il parvient à en prendre le contrôle.

Par ailleurs, un autre facteur rend cette faille particulièrement dangereuse : le temps. Techniquement, elle est exploitable depuis la première génération de processeurs Core chez Intel. On sait donc qu’Intel vient manifestement de la découvrir et de la corriger, mais pas si la vulnérabilité étant connue de tiers pendant tout ce temps. Ses détails pourraient donc être entre les mains de pirates depuis des années.

Les entreprises peuvent suivre la procédure mise en place par Intel pour détecter des firmwares éventuellement concernés par ces failles. Le fondeur a publié un outil de détection et une marche à suivre en cas de mise à jour nécessaire. La plus importante des deux brèches étant considérée comme critique, il est recommandé de procéder au plus vite aux manipulations nécessaires.

Notez que si les entreprises sont dans l'impossibilité d'installer un nouveau firmware rapidement, elles peuvent consulter un guide fourni par Intel pour atténuer les risques. Dans les grandes lignes, il y est recommandé de désactiver un certain nombre de services et composants (dont LMS) pour réduire autant que possible la surface d'attaque potentielle.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Qu’est-ce que l’AMT ?

Une sérieuse faille dans de nombreuses versions

Exploitation : surtout un risque pour les serveurs

Le risque potentiel est très élevé

Commentaires (15)


je m’y connais très peu en admin sys, mais quel est l’intéret de cette technologie ? Pourquoi ne pas simplement utiliser les outils de gestions Linux/Windows ? ( vu que de toute façon il faut faire du spécifique pour la gestion des softwares ( et si ça se trouve ça marche pas sous Linux )


en gros, quand ton OS se plante, tu peux toujours prendre la main à distance


C’est un peu aussi au Poste de travail ce que sont HP iLO et Dell RAC au serveur. Tu peux vraiment gérer comme tu veux une machine.



Certains outils pro tel que Landesk Management Suite peuvent s’appuyer dessus (et c’est très puissant).


ça permet aussi d’interdire l’entrée en salle blanche des sys admin

<img data-src=" />


Tu peux faire un parallèle avec le Wake-on-Lan : un truc qui répond à un besoin hyper spécifique.



Tu peux gérer une machine éteinte.

Ou dont l’OS n’a pas démarré à cause d’un soucis de disque par exemple

Ou dont la carte réseau à perdu son IP



Bref un outil qui sert en cas de merde inhabituelle quoi ^^


Encore un truc intrinsèquement mal fichu.

Il vaut largement mieux un bête ipmi sur un réseau privé, puis laisser l’OS gérer la sécurité sur la console ipmi. C’est rustique, mais au moins il n’y a pas de faille.

&nbsp;








alex.d. a écrit :



Encore un truc intrinsèquement mal fichu.

Il vaut largement mieux un bête ipmi sur un réseau privé, puis laisser l’OS gérer la sécurité sur la console ipmi. C’est rustique, mais au moins il n’y a pas de faille.



Par contre, il devient plus difficile de faire un double des clés pour la NSA …



Ok, merci pour vos réponses ! Je vois mieux l’utilité du truc :) <img data-src=" />


Le vrai souci est que cet outil n’est pas désactivable ce qui fait que tout PC Intel a une backdoor avec les droits root sur la machine. Miam !








tiret a écrit :



Le vrai souci est que cet outil n’est pas désactivable ce qui fait que tout PC Intel a une backdoor avec les droits root sur la machine. Miam !





C’est pire qu’une backdoor root.



Concrètement, avec mes machines sous le manchot, bureautique plus deux serveurs, j’ai quelque chose à faire à part prier que mes bécanes ne soient pas attaquées​ ? Je pose la question au cas où…


Y a t’il un logiciel Linux qui permet de savoir si on est touché par cette faille ?


Les NATer limitera déjà grandement les risques, en désactivant bien sûr l’UPnP sur ton routeur.








psn00ps a écrit :



C’est pire qu’une backdoor root.





La vache, mais c’est quoi ce machin qui fonctionne même quand le BIOS ne se charge pas?

J’ai toujours cru que le BIOS était le premier programme à se lancer. Est-ce donc uniquement sur des machines grand public, et les serveurs sont différents?






C’est comme un autre système attaché à ton système.