web-dev-qa-db-ja.com

非特権ユーザーがINTEL-SA-00086の脆弱性を悪用することはできますか?

最新のIntel Management Engineの脆弱性のいくつかは、ローカルの脆弱性として リスト であり、システムで実行されるコードがその権限をMEコンテキストに昇格できるようにします。それらの1つ( CVE-2017-5708 )は、権限のないプロセスが不特定のベクトルを介して特権コンテンツにアクセスすることを許可していると主張しています。これは、それを利用するために何が必要かについてのヒントを与えません。特権の昇格または情報漏えいの脆弱性に特に興味があります。

私の知る限り、MEを実行しているシステムでは、AMTがプロビジョニングされていない場合、ユーザースペースはHECI経由でのみMEと対話できます。これには特権命令が必要なので、カーネル(またはカーネル経由のroot)だけが実行できます。非特権命令のみを使用して、これらの脆弱性のいずれかが完全にユーザースペースで悪用される可能性はありますか?これが本当に厄介だが誇張されていることと、これが全面的な災害であることの違いを生むものです。

CVSSv3ベクトルスコアリングでは、CVE-2017-5708には「低い特権」(PR:L)が必要であると記載されていますが、それ以上の詳細は提供されません(一方、 Cisco advisory は、攻撃には特権ユーザーへのアクセスが必要であることを示しています)。同じことがCVE-2017-5710にも当てはまりますが、これはIntel TXTに対するエクスプロイトであり、私の知る限りでは、特権付きの命令のみが追加されます。

孤立したユーザーとして実行されている低い特権のプロセスがこれらの脆弱性を悪用して、より高い特権を取得したり、価値のある情報を読み取ったりできますか?カーネルに脆弱性がないと仮定し、MEIおよびTEXIドライバーが存在しないと仮定しますか? The Register のようないくつかの情報源は、高い特権のプロセスがこれらの脆弱性を悪用する可能性があることを明示的に述べているようですが、情報をどこから入手したかについては説明していません。 CSSv3 仕様書 によると、PR:Lは基本的なユーザー権限のみを必要とする攻撃に指定されていますが、PR:Hは管理者権限などの「重要な」権限を必要とします。これにより、攻撃はリング3の通常のユーザーとして機能しているように見えますが、上記の他のソース(およびMEとの通信方法に関する私の限られた理解)と競合しています。

によると これらの脆弱性の1つを発見した人の1人、ベクトルは/dev/mei0への「中間」アクセスとフラッシュプログラマー経由のアクセスにあります。彼が単にベクトルが異なることを暗示しているのか、それともキャラクターデバイスへのアクセスよりも多くの特権が必要であるが、物理アクセスとフラッシュプログラマーによって提供される特権よりも少ないのかはわかりません。 IRCに関する議論により、元の脆弱性は Intel Series 100チップセット (Skylake PCH)上のP2SB PCIブリッジの不適切な構成に関連している可能性があることが明らかになりましたが、意味は曖昧に見えます(言うまでもなく、これは、最初に公開された脆弱性についてのみであり、これは次のBHEUトークで議論されるものであり、インテルの内部監査によって発見された他の脆弱性ではありません)。

リング3の非特権ユーザーがこれらの脆弱性を悪用することはできますか?

6
forest

IME firwmare update notes から直接引用すると、攻撃者がプラットフォームに物理的にアクセスしてファームウェアフラッシュを実行できない場合、推奨されるフラッシュ記述子書き込み保護が有効になっていると攻撃者は何もできません。そうでない場合、攻撃者はカーネルへのリング0アクセスを必要とします。攻撃者は、悪意のあるドライバーソフトウェアを介して悪意のあるファームウェアを適用することにより、脆弱性を悪用することができます。また、ユーザーが有効なIME管理者資格情報を持っている場合はリモートで悪用される可能性があります。そうでない場合はそうではありません。

リング-3のエクスプロイトと他のリングの存在 について質問しているときにこの質問に遭遇しました

1
LTPCGO