Как известно, компания Intel 1 мая 2017 г. опубликовала информацию о критической уязвимости (INTEL-SA-00075/ CVE-2017-5689) платформ, имеющих функции Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) и Intel Small Business Technology (SBT). Компания «Информзащиты» предлагает рекомендации своих экспертов, чтобы помочь справиться с ситуацией.

Компоненты Intel AMT/ISM/SBT являются частью технологии Intel vPro, предназначенной для удаленного управления компьютером без использования средств ОС. Технология основана на специализированном чипе Intel Management Engine, который функционирует независимо от ОС и имеет собственную прошивку, независимый доступ к сетевым интерфейсам и прямой доступ к оперативной памяти.

Компонент Intel Active Management Technology (AMT) обеспечивает Web-интерфейс удаленного управления и доступ к таким функциям, как удаленная консоль управления, диагностика и мониторинг рабочей станции и загрузка ОС с удаленного носителя. Уязвимость позволяет злоумышленнику получить привилегированный доступ к интерфейсу управления AMT. Она актуальна для чипсетов Intel, выпускаемыx с 2010 г., включая последние поколения Kaby Lake Core, с прошивками ME/AMT версий 6.х - 11.6.

Согласно информации Intel, возможные векторы атак таковы. В случае удаленной эксплуатации злоумышленник может получить привилегированный удаленный доступ к Web-интерфейсу AMT/ISM. При локальной эксплуатации злоумышленник, имея непривилегированный локальный доступ к системе, может повысить привилегии посредством развертывания и использования функций AMT/ISM/SBT.

Intel выпустила патч безопасности, закрывающий данную уязвимость, но для его установки необходимо, чтобы производитель оборудования (системной платы, ноутбука, рабочей станции) интегрировал данный патч в новую версию прошивки. Для некоторых уже неподдерживаемых систем новые версии прошивок, возможно, никогда не будут выпущены.

Компания «Информзащита» рекомендует следующие действия, направленные на нейтрализацию угрозы:

1) в качестве первичного экспресс-анализа провести сканирование сети на предмет наличия открытых портов TCP:16992-16995, 623, 664 на рабочих станциях, серверах и других узлах сети;

2) дополнительно проверить актуальность уязвимости для всех рабочих станций, серверов и других узлов сети, используя инструмент INTEL-SA-00075 Discovery Tool либо другие методы в соответствии с документом «INTEL-SA-00075 Detection Guide»;

3) проверить доступность на сайте производителя оборудования новой версии прошивки, исправляющую уязвимость (INTEL-SA-00075/ CVE-2017-5689);

4) если новая версия прошивки недоступна, отключить функции AMT, ISM, SBM, следуя руководству INTEL-SA-00075 Mitigation Guide.

5) если отключение данных функций невозможно – ограничить доступ к этим машинам на сетевом уровне и/или заблокировать удаленный доступ к портам TCP:16992-16995, 623, 664. Следует иметь в виду, что это снизит риск только удаленной эксплуатации уязвимости.

Команда экспертов «Информзащиты» проводит исследование уязвимости и готова консультировать все компании, обеспокоенные сложившейся ситуацией.