web-dev-qa-db-ja.com

Intel AMTの脆弱性-ローカルの脅威とはどのようなものですか?

INTEL-SA-00075 は、Intel AMT/ISM/SBTファームウェアの脆弱性を示しています。 Intel自身の速報から、これはローカルでもリモートでも脅威です。

ローカルシナリオの脅威はどうですか?私はネットワークレベルでの脅威を理解していますが、Intelによると、この脆弱性はローカルレベルでの脅威のままです。

彼らの会報から:

権限のないローカルの攻撃者は、Intelの管理容易性SKUで非特権のネットワークまたはローカルシステム特権を取得する管理機能をプロビジョニングする可能性があります

これがどのように脅威をもたらすのか理解できません。サービスがプロビジョニングされていない場合、脅威はありません。サービスをプロビジョニングするには、ユーザーに管理者権限が必要です(または物理的にアクセスできる必要があります)。ユーザーがすでに管理者権限を持っている場合、これを悪用しても何も買えません(とにかく、物理的なアクセスはroot権限を意味し、とりわけUSB攻撃)。何か不足していますか?

6
n00b

@polynomialが上記で説明したように、「[LMS]サービスが実行されていない場合、それを利用することはできません。」

ただし、ローカル環境の観点では、「サービスがターゲットコンピューターまたはそのコンピューターを管理する権限を持つコンピューターで実行されていない限り」と述べる方がより正確です。その場合、エクスプロイトはありません。

たとえば、DCでLMSが実行されているが、CEOのコンピューターでは実行されていなかった場合、DCが侵害され、グループポリシーを使用してLMSをインストールできる可能性があります。 CEOのコンピューターで、AMTにアクセスできます。

1
DrDamnit

「プロビジョニング済み」には複数の矛盾する定義があると思います。 AMT(リモートアクセス)プロビジョニング。システムとしてのインテルAMTサービスのインストール/実行との比較。

デバイスはLMSソフトウェアを実行できますが、AMTハードウェアはリモートアクセス用に構成されていません。 LMSソフトウェアがハードウェアを再構成してリモートアクセスを有効にする(および任意の資格情報を設定する)ことができる場合、この脆弱性によりハードウェアレベルのリモートコード実行が可能になります。

ハードウェアアクセスがすでに設定/有効化されている場合、ソフトウェアベクタは無関係です。 (リモートコントロール/仮想ディスクアクセスのためのオペレーティングシステムは必要ありません)

1
CGretski