Эксперты ИБ опубликовали рекомендации для защиты от уязвимости Intel

Эксперты ИБ опубликовали рекомендации для защиты от уязвимости Intel

Эксперты ИБ опубликовали рекомендации для защиты от уязвимости Intel

В понедельник, 1 мая 2017г., компанией Intel была опубликована информация о критической уязвимости (INTEL-SA-00075/ CVE-2017-5689) платформ Intel, имеющих функции Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) и Intel® Small Business Technology (SBT).

Чтотакое Intel AMT/ISM/SBT

Компоненты Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) и Intel® Small Business Technology (SBT) являются частью технологии Intel vPro, предназначенной для удаленного управления компьютером без использования средств ОС. Технология основана на специализированном чипе Intel Management Engine, функционирующем независимо от ОС и обладающим собственной прошивкой, независимым доступом к сетевым интерфейсам и прямым доступом к оперативной памяти.

Компонент Intel® Active Management Technology (AMT) обеспечивает веб-интерфейс удаленного управления и доступ к таким функциям как:

  • удаленная консоль управления;
  • диагностика и мониторинг рабочей станции;
  • загрузка ОС с удаленного носителя.

Уязвимость позволяет злоумышленнику получить привилегированный доступ к веб-интерфейсу управления Active Management Technology (AMT).

Уязвимости актуальна для чипсетов Intel выпускаемыx с 2010 года, включая последние поколения Kaby Lake Core, с прошивками ME/AMT версий 6.х - 11.6

Команда экспертов «Информзащиты» проводит исследование данной уязвимости. Согласно информации Intel, возможные векторы атак могут выглядеть следующим образом:

Векторы атаки:

  1. Удаленная эксплуатация. Злоумышленник может получить привилегированный удаленный доступ к веб-интерфейсу AMT/ISM.
  2. Локальная эксплуатация. Злоумышленник, имея непривилегированный локальный доступ к системе, может повысить привилегии посредством развертывания и использования функций AMT/ISM/SBT.

Обновления безопасности

Компания Intel выпустила патч безопасности, закрывающий данную уязвимость. Но для установки данного патча необходимо, чтобы производитель оборудования (материнской платы, ноутбука, рабочей станции) интегрировал данный патч в новую версию прошивки. Для некоторых, уже неподдерживаемых систем, новые версии прошивок возможно не будут выпущены никогда.

Рекомендации

Компания «Информзащита» рекомендует следующий перечень первоочередных действий, направленных на нейтрализацию данной угрозы:

  1. В качестве первичного экспресс-анализа, произвести сканирование сети на предмет наличия открытых портов TCP:16992-16995, 623, 664 на рабочих станциях, серверах и других узлах сети.
  2. Дополнительно необходимо проверить актуальность уязвимости для всех рабочих станций, серверов и других узлов сети, используя инструмент «INTEL-SA-00075 Discovery Tool», либо другие методы в соответствии с  документом «INTEL-SA-00075 Detection Guide» https://downloadcenter.intel.com/download/26755
  3. Проверить доступность на сайте производителя вашего оборудования новой версии прошивки, исправляющую уязвимость (INTEL-SA-00075/ CVE-2017-5689). Установить в случае доступности.
  4. Если новая версия прошивки недоступна, отключить функции AMT, ISM, SBM следуя руководству «INTEL-SA-00075 Mitigation Guide» https://downloadcenter.intel.com/download/26754.
  5. Если отключение данных функций невозможно – ограничить доступ к данным машинам на сетевом уровне и/или заблокировать удаленный доступ к портам TCP:16992-16995, 623, 664. Следует иметь в виду, что это снизит риск только удаленной эксплуатации уязвимости.

В настоящий момент сервис Shodan обнаруживает более 6,3 тыс. сетевых узлов с открытыми портами TCP:16992, TCP:16993. Из них в России таких узлов порядка 280.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

57 опасных расширений для Chrome шпионят за 6 миллионами людей

Пока вы спокойно сидели в браузере, кто-то уже мог следить за вашими действиями — буквально через расширения для Google Chrome. Исследователь из Secure Annex Джон Такнер раскопал настоящую свалку подозрительных плагинов: 57 расширений, которые суммарно установили около 6 миллионов человек.

И всё бы ничего, но вот загвоздка: эти расширения невидимки — в магазине Chrome Web Store они не находятся ни через поиск, ни через Google.

Установить можно только по прямой ссылке. Обычно так распространяются внутренние корпоративные тулзы или тестовые версии. Но тут, похоже, схему подхватили злоумышленники и толкают такие плагины через рекламу и сомнительные сайты.

Расширения маскируются под защитников — обещают блокировать рекламу, защищать от вредоносного софта и вообще быть полезными. А на деле:

  • отправляют куки, включая заголовки типа Authorization,
  • отслеживают, какие сайты вы посещаете,
  • могут менять поисковики и подсовывать нужные результаты,
  • вставляют и запускают скрипты прямо на страницах,
  • могут управлять вкладками и запускать эти функции по команде извне.

Да, это уже не просто «рискованные разрешения» — это прямо допуск ко всему.

 

Такнер начал с одного плагина под названием Fire Shield Extension Protection. Он был подозрительно обфусцирован (то есть запутан для сокрытия логики) и общался с внешним API. Через домен unknow.com (не очень скрытно, кстати) он нашёл ещё десятки расширений, использующих ту же инфраструктуру.

Вот часть «топовых» из списка:

  • Cuponomia – Coupon and Cashback — 700 000 пользователей (публичное).
  • Fire Shield Extension Protection — 300 000 (непубличное).
  • Total Safety for Chrome™ — 300 000 (непубличное).
  • Browser WatchDog for Chrome — 200 000 (публичное).
  • Securify for Chrome™ — 200 000 (непубличное).

И это только вершина айсберга.

Если вдруг у вас установлен один из этих плагинов — удаляйте немедленно. А чтобы уж наверняка — смените пароли на своих аккаунтах. Google уже в курсе и расследует ситуацию, а некоторые плагины уже начали удалять из Web Store.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru