ИТ-портал компании «Инфосистемы Джет»

Уязвимости Intel: найти и обезвредить

Уязвимости Intel: найти и обезвредить

В чипах Intel обнаружен ряд опасных уязвимостей, представляющих угрозу для большого числа систем (серверы и рабочие станции под управлением любых ОС). Производители оборудования начали выпускать патчи для своей продукции.

Компания Intel выпустила набор утилит, позволяющих протестировать свои системы на уязвимость. Мы подготовили скрипты и инструкцию по использованию их для поиска уязвимых систем в корпоративной среде.

Что произошло

Компания Intel подтвердила наличие уязвимостей ранее обнаруженных специалистами Positive Technologies Марком Ермоловым и Максимом Горячим. В результате исследования Intel расширил перечень уязвимых систем и технологий:

  • Intel® Management Engine (Intel ME) версий 11.0/11.5/11.6/11.7/11.10/11.20.
  • Intel® Trusted Execution Engine (Intel TXE) версии 4.0.
  • Intel® Server Platform Services (Intel SPS) версии 3.0.

Под ударом оказалось очень большое число процессоров:

  • 6th, 7th & 8th Generation Intel® Core™ Processor Family.
  • Intel® Xeon® Processor E3-1200 v5 & v6 Product Family.
  • Intel® Xeon® Processor Scalable Family.
  • Intel® Xeon® Processor W Family.
  • Intel® Atom® C3000 Processor Family.
  • Apollo Lake Intel® Atom Processor E3900 series.
  • Apollo Lake Intel® Pentium™.
  • Celeron™ N and J series Processors.

Риски

Уязвимости могут быть использованы для обхода любых функций безопасности ОС, запуска произвольного кода или выведения систем из строя. Они делятся на 2 группы: влияющие на работу непосредственно Intel ME и Intel Active Management Technology (AMT). Эти компоненты, в том числе, отвечают за удаленное управление компьютером, могут быть использованы для перехвата изображения экрана и взаимодействия с устройствами ввода, позволяют отключать Secure Boot и совершать большое число других опасных операций.

По информации на данный момент, большая часть уязвимостей может быть проэксплуатирована только локально. По информации Intel, возможна удаленная эксплуатация по сети, если у хоста доступен management-интерфейс. Сейчас основными векторами атак могут быть использование уязвимостей Intel ME в связке с другими уязвимостями для повышения прав на системе или в атаках с использованием социальной инженерии.

На данный момент нет информации о готовых эксплоитах или вредоносном ПО, успешно эксплуатирующем эти уязвимости. Это дает компаниям некоторый запас времени на установку обновлений до того, как злоумышленники успеют воспользоваться этими критическими уязвимостями.

Решение

После публикации Intel информации об уязвимостях производители оборудования начали выпускать патчи безопасности (первой была компания Lenovo). Однако из-за огромного числа производителей крайне затруднительно спрогнозировать, когда будут выпущены патчи для всех систем. В большинстве случаев автоматическое обновление систем не будет произведено — это задача администраторов.

Что делать сейчас?

Необходимо незамедлительно произвести инвентаризацию уязвимых систем, чтобы иметь возможность понять масштаб проблемы и сформировать план по устранению уязвимостей. Компания Intel выпустила набор утилит, позволяющих определить уязвимые системы: https://downloadcenter.intel.com/download/27150.

Для Windows-систем Intel выпустила утилиту с графическим интерфейсом для локальной проверки и консольную утилиту, результат работы которой пишется в файл и в реестр.

Для массовой проверки windows-машин в корпоративной среде мы подготовили инструкцию и скрипты, упрощающие сбор данных.

Инструкция

Существует множество способов запуска утилиты в корпоративной среде. Мы предлагаем следующий: утилита располагается в общей папке, откуда она вызывается скриптом, помещенным в startup script всех рабочих станций компании (разумеется, вы можете использовать любой другой способ запуска скрипта на машинах сети). Вывод утилиты пишется в эту же папку. Утилита сохраняет данные по каждой машине в отдельные файлы. Для вашего удобства мы подготовили скрипт, собирающий данные в 1 csv-файл, который легко просматривать и редактировать через Excel.

1. Необходимо разместить каталог с консольной версией утилиты (Intel-SA-00086-console.exe) на файловом сервере. Туда же поместить два bat-файла — script-check.bat и script-merge.bat (скачать архив со скриптами).

2. Сделать каталог с утилитой доступным по сети, выполнить настройку прав доступа:

Сетевой доступ — группе «Все» предоставить полный доступ.

ACL — группе «Доменные пользователи» — права на изменение.

3. Отредактировать содержимое скриптов: в переменной «PATH» заменить значение “\\computername\sharename” на сетевой путь к папке с утилитой.

4. Создать объект групповой политики, настроив в нем параметр startup script, указав для исполнения скрипт script-check.bat.

После выполнения перечисленных действий, по мере выполнения startup script, в папке с утилитой будут появляться текстовые и XML-файлы, формируемые самой утилитой, а также CSV-файлы, формируемые скриптом script-check.bat.

В CSV-файлах содержится информация о дате и времени выполнения проверки, hostname компьютера, результат выполнения проверки и Return Code. CSV-файл формируется каждый раз при выполнении скрипта script-check.bat.

Важно! При проведениях тестов утилиты от Intel мы обнаружили, что она некорректно исполняется на виртуальных машинах VMware. Запуск утилиты приводит к полному исчерпанию памяти на машине. Запуск утилиты на виртуальных машинах не имеет смысла, но может произойти по ошибке.

В скрипте script-check.bat содержится проверка, является ли проверяемый компьютер виртуальной машиной в среде виртуализации VMware. Крайне не рекомендуется запускать утилиту на любых виртуальных машинах.

Для сведения информации о проверках в один файл необходимо запустить скрипт script-merge.bat с правами администратора. Результатом выполнения скрипта будет CSV-файл с именем “combined.csv”, в котором будет содержаться информация из всех созданных ранее CSV-файлов.

После появления новых результатов проверок для актуализации информации в файле “combined.csv” необходимо запустить скрипт script-merge.bat повторно.

Описания уязвимостей

Полезные материалы

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: