AMT : Intel corrige une vieille faille critique dans des processeurs pour entreprises

Détecter, corriger, redémarrer 15
Accès libre
image dediée
Crédits : Intel
Sécurité
Vincent Hermann

Intel a publié hier un important bulletin de sécurité au sujet de deux failles présentes dans sa pile AMT (Active Management Technology). Elles sont désormais corrigées par un nouveau firmware, et même si elles ne touchent a priori que le monde de l’entreprise, il est recommandé d’y remédier au plus vite.

Il est rare qu’Intel avertisse d’une vulnérabilité dans l’un de ses produits. On en compte cette fois deux, dont une très sérieuse. Elles touchent trois produits, dont AMT, un ensemble de technologies que le fondeur fournit aux entreprises, offrant une longue liste de fonctionnalités de gestion, notamment pour la maintenance et la virtualisation.

Qu’est-ce que l’AMT ?

L’Active Management Technology est une pile prenant appui sur le Management Engine. Ce dernier est un petit microprocesseur que l’on trouve dans les processeurs Intel depuis une dizaine d’années. Quand AMT est active, elle communique par les ports 16992 et 16993 du réseau. La machine ne voit jamais ces paquets.

Dans le cadre d’un réseau d’entreprise configuré pour utiliser l’AMT, un administrateur peut se servir d’une console web pour diriger les machines compatibles. Il peut lancer diverses opérations, comme redémarrer une machine, installer un logiciel, effectuer une maintenance, etc.  L’accès à cette console web se fait grâce à un mot de passe, mais l’une des deux failles permet justement de le contourner.

Une sérieuse faille dans de nombreuses versions

Le Management Engine en lui-même n’est pas concerné, mais trois produits le sont : Active Management Technology, Small Business Technology et Standard Manageability. Toutes les versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 et 11.6 sont vulnérables, autrement dit presque toutes depuis presque dix ans. Les moutures précédant la 6.x et après la 11.6 ne sont donc pas vulnérables.

Bien que les trois produits soient touchés, l’attention se concentre sur AMT, qui est au centre des mécanismes de gestion. Exploitée, elle permettrait à un pirate de s’emparer des fonctions de gestion du parc informatique d'une entreprise. En outre, elle est exploitable à distance, ce qui en augmente évidemment la dangerosité.

Exploitation : surtout un risque pour les serveurs

La question de l’exploitation soulève cependant des voix dissonantes. Bien que le communiqué d’Intel publié hier soit clair sur les produits et versions concernés, il ne dit rien sur le danger réel couru par les entreprises, ni d’ailleurs qui peut être réellement touché.

Selon SemiAccurate, Matthew Garrett ou encore HD Moore, il semble bien que le souci ne soit bien exploitable qu’en entreprise, si l’Active Management Technology est activée et surtout réellement utilisée. Les portes ports 16992 et 16993 doivent donc être ouverts pour laisser passer les ordres émis par l’AMT.

Pour Moore, le risque concerne avant tout les serveurs, puisque ce sont les machines traditionnellement utilisées pour l’administration des postes. Selon lui, une requête spécifique envoyée sur le moteur de recherche Shodan lui a renvoyé environ 7 000 résultats, ce qui représenterait le nombre de serveurs disponibles. Selon lui également, il faut que le Local Manageability Service (LMS) de Windows soit également activé.

Le risque potentiel est très élevé

Même si le chiffre paraît faible, il ne faut pas oublier que pour un serveur vulnérable à distance, on peut trouver des dizaines, voire des centaines de machines rattachées. Le danger ne vient pas de l’attaque sur le serveur proprement dite, mais bien des droits que gagne le pirate sur le réseau s’il parvient à en prendre le contrôle.

Par ailleurs, un autre facteur rend cette faille particulièrement dangereuse : le temps. Techniquement, elle est exploitable depuis la première génération de processeurs Core chez Intel. On sait donc qu’Intel vient manifestement de la découvrir et de la corriger, mais pas si la vulnérabilité étant connue de tiers pendant tout ce temps. Ses détails pourraient donc être entre les mains de pirates depuis des années.

Les entreprises peuvent suivre la procédure mise en place par Intel pour détecter des firmwares éventuellement concernés par ces failles. Le fondeur a publié un outil de détection et une marche à suivre en cas de mise à jour nécessaire. La plus importante des deux brèches étant considérée comme critique, il est recommandé de procéder au plus vite aux manipulations nécessaires.

Notez que si les entreprises sont dans l'impossibilité d'installer un nouveau firmware rapidement, elles peuvent consulter un guide fourni par Intel pour atténuer les risques. Dans les grandes lignes, il y est recommandé de désactiver un certain nombre de services et composants (dont LMS) pour réduire autant que possible la surface d'attaque potentielle.


chargement
Chargement des commentaires...