Intel platforms from 2008 onwards have a remotely exploitable security hole

https://news.ycombinator.com/item?id=14237266
https://semiaccurate.com/2017/05/01/remote-security-exploit-2008-intel-…

AdmiralAsshat 4 hours ago

The short version is that every Intel platform with AMT, ISM, and SBT from Nehalem in 2008 to Kaby Lake in 2017 has a remotely exploitable security hole in the ME (Management Engine) not CPU firmware.

We knew this would happen. We knew that the Management Engine was a backdoor, and we knew it was only a matter of time before someone would figure out how to exploit it. This is exactly the reason why Libreboot exists (https://libreboot.org/faq.html#intel). And now, far from being the tinfoil hat distro that is often portrayed, it will become a bare necessity.

( hendrick v | 2017. 05. 02., k – 09:06 )

Average computer user – If your system is 10 years old or newer it is likely exploitable, check for patches daily and install all patches immediately.
>>If there is no patch, back up data and replace.<<

Kicsit mintha túl lenne hypeolva, ha jól értem az advisory alapján elég kikapcsolni ezt a feature-t ha nincs még patch rá. Vagy az exploit távolról be is fogja tudni kapcsolni?

Igen hasból írtam egy százalékot ez hiba volt arra hogy vajh mennyi lehet az az enterprise gép százalék ami kikerül a nagy cégektől magánkézbe és valamilyen csoda folytán nincs kikapcsolva az AMT rajtuk, vagy Gizike rányom és bekapcsolja valamilyen véletlen folytán és mint egy töltött fegyveren csücsülnek valamint nincs IT részleg aki befoltozza vagy kikapcsolja.
Majd ha kijön a disclosure lehet szkennelni és kiderül, hogy mennyi olyan gép elérhető a neten ami bekapcsolt AMTvel nincs befoltozva.

PS: Lehet előző főnököm is ettől a naptól tartott, ezért változtatta meg az egyik rendelést VPro+AMT-s gépekről non-vPros gépekre.

Ott lesz nagy szívás, ahol mindenképp kell az AMT de az OEM nem adja ki az adott típusra a patchelt firmware-t.

Az azért megvan, hogy szó volt a cikkben egy lokális exploitról is, amivel a unprovisioned állapotból provisionedbe lehet kapcsolni futási időben? Részleteket én is hiányolok, pl milyen lokális privilégiumszint kell a bekapcsoláshoz. Gondolom ring-0 lesz, mert ha userspace-ből is menne, akkor a cikkben ez eléggé ki lett volna hangsúlyozva. Arra viszont így is kiváló, hogy egy rootkit lepucolhatatlanul perzisztenssé tegye magát.

Szóval nem, azzal sajnos nincs megoldva, hogy kikapcsolják az AMT-t. És ez pontosan azért gáz, amit fent leírtál, mert olyan emberből viszont nagyon sok lesz, aki nem is tudja, hogy ott van a gépében és foglalkozni kéne vele.

Ami nagyon jó kérdés - és a cikk ezt sajnos ködösíti a végén - hogy valójában mennyire érintettek olyan gépek, amik hivatalosan nem AMT-képesek.
---
Régóta vágyok én, az androidok mezonkincsére már!

( asch v | 2017. 05. 02., k – 10:54 )

Hajbazert nem érinti. Neki csak régebbi vasai vannak :-)

( gezaa | 2017. 05. 04., cs – 10:09 )

Osszerakott Intel asztali PC, 2012-s EFI, 8.1-gyel kezdodo firmware verzio, nem lattam sem AMT, ISM, SBT-nak nyomat. De a cikkbol nem ugy tunik, hogy csak nagy ceg altal osszerakott egybe gepeknel letezik.
Aki jobban utanaolvasott ennek, meg tudna irni, hogy ebben a gepben miert nem latom?