Vlákno názorů k článku Postřehy z bezpečnosti: SS7 zranitelnosti zneužity k vykradení bankovních účtů od kallsyms - Na některých BIOSech nelze AMT vypnout i když...
-
Na některých BIOSech nelze AMT vypnout i když mají volbu "AMT disable":
http://www.intel.co.uk/content/www/uk/en/support/technologies/000020930.html
-
Erik (neregistrovaný)
Ohledně té záležitosti AMT jsem dost zmatený. Týká se zranitelnost jen serveru nebo i osobních počítačů?
Ve výpisu lspci jsem našel MEI a tím končím. Chtěl bych AMT vypnout (či se ujistit o jeho vypnutém stavu), ale v biosu o této funkci nenajdu ani zmínku a ctrl + P při bootování systému mě nikam nedostane.
-
Zranitelnost se týká serverů i osobních počítačů. U osobních počítačů se to vyskytuje u drahších modelů notebooků (třeba "business class" Lenova nebo Delly).
Ty zranitelnosti AMT jsou dvě - první, exploitovatelná vzdáleně, vyžaduje, aby 1) AMT bylo aktivováno a 2) AMT bylo nastaveno ("provisioned"). AMT může být v defaultu zapnuto (třeba já ho měl aktivováno na notebooku od výroby), ale provisioning musí udělat explicitně nejaký admin - to značí, že to ohrozuje korporace, kde AMT aktivně využívají.
Druhá zranitelnost je lokální a je zneužitelná na eskalaci práv pokud je 1) AMT zapnuto a 2) používate Windows se zapnutými Local Management Service (windowsí service). Local Management Service má kromě jiného úžasnou vlastnost, že do AMT nasype všechny wifi hesla a 802.1x credentials, aby se integrovaná intel wifi mohla autonomně připojit. (https://software.intel.com/en-us/articles/an-introduction-to-intel-active-management-technology-wireless-connections)
Kromě Ctrl+P ješte zkuste Ctrl+F12 (na mém Dell notebooku taky Ctrl+P nefunguje, ale Ctrl+F12 ano). Já už v BIOSu nemám ani volbu "AMT disable", jenom v tom MEBx menu by mělo fungovat vypnutí přes nastavení záhadně pojmenovanou volbu "Manageability Feature Selection" na "None" nebo "Disable". Tedy podle manuálu (kde jak se ukazuje u Lenovo BIOSu, to nemusí být tak úplně pravda).
-
V Linuxu první zranitelnost je zneužitelná, protože vůbec nepotřebuje kooperaci operačního systému (obstará to AMT a Intel Management Engine; bude tam běžet HTTP server, který ma authentication bypass bug). Nicméně prerekvizita je, že nějaký admin AMT nastavil (nestane se z výroby). Nastavení AMT je vidět z MEBx menu.
Druhá zranitelnost zneužitelná AFAIK není, protože vyžaduje aktivní účast operačního systému. Linux pro to nemá podporu.
