CVE 2017-5689: Ручна експлуатація уразливості в Intel AMT

CVE 2017-5689: Ручна експлуатація уразливості в Intel AMT

Сценарій на основі уразливості CVE 2017-5689 може бути реалізований дуже швидко і все ще може стати причиною фатальних наслідків для багатьох систем.

Автор: Laxita Jain

Введення

У цій статті розглядається ручна експлуатація уразливості, знайденої в 2017 році в технології Intel AMT (Intel Active Management Technology), що дозволяє обійти основний механізм аутентифікації в веб-інтерфейсі і віддалено отримати максимальні (адміністративні) привілеї. Коротко розглядається веб-інтерфейс, супутня апаратна частина, а потім дослідження та експлуатація проломи.

Технологія Intel AMT

Intel AMT являє собою прошивку, що дозволяє отримати віддалений доступ до апаратної частини комп’ютера. За допомогою цієї технології системні адміністратори можуть віддалено керувати, установлювати оновлення і вирішувати проблеми серверів, настільних систем і навіть розумних торгових автоматів. Intel AMT широко використовується в тих місцях, коли співробітники постійно переміщуються або кількість систем величезна. Для усунення несправностей достатньо підключення до інтернету, що значно полегшує життя технічним фахівцям.

Intel Management Engine

На обраних корпоративних комп’ютерах, де доступна технологія AMT, крім основного процесора, є крихітний субкпомпьютер, званий Intel Management Engine, у якого є повний доступ до апаратної частини, що дозволяє виконувати різні завдання, коли система завантажується, працює або навіть знаходиться в сплячому режимі. В цьому випадку у нас є віддалений доступ до пам’яті, клавіатури, драйвери, BIOS і навіть до мережі.

Веб-інтерфейс Intel AMT

До веб-інтерфейсу можна отримати доступ через два порти:

Для доступу до інтерфейсу потрібна авторизація, але уразливість дозволяє обійти цей механізм.

Суть проблеми

Під час авторизації використовується механізм дайджест-аутентифікації, коли перед відправкою паролі конвертуються в зашифровану рядок. Пароль, введений користувачем, порівнюється на сервері зі збереженим значенням за допомогою виклику наступної функції:

strcmp(значення вказане користувачем, значення яке зберігається на сервері, довжина порівняння)

Ця функція повертає позитивне або від’ємне значення у разі розходження рядків або 0, якщо рядки ідентичні. Відповідно, 0 означає, що аутентифікація завершилася успішно. Останній аргумент відповідає кількості порівнюваних символів і відповідає довжині рядка, введеної користувачем.

Тепер розглянемо, що станеться, якщо довжина дорівнює нулю. У цьому випадку кількість порівнюваних символів теж одно порожнім значенням. Якщо нема що порівнювати, функція поверне 0, і в цьому полягає вразливість. При використанні проксі-сервера (навроде Burpsuite) для перехоплення запиту і модифікації з метою відправлення порожнього значення замість пароля, ви зможете пройти авторизації в веб-інтерфейсі і отримати повний віддалений контроль над системою.

Тестування уразливості

Крок 1: Налаштовуємо проксі-сервер для перехоплення запитів. Відкрийте веб-інтерфейс Intel AMT, використовуючи IP-адресу і порт (можна знайти через пошукову систему shodan.io). З’явиться діалогове вікно для авторизації. Введіть ім’я користувача «admin» і будь-який випадковий пароль.

Малюнок 1: Діалогове вікно під час аутентифікації в веб-інтерфейсі Intel AMT

Ім’я користувача «admin» використовується по замовчуванню у всіх AMT-інтерфейси, і нам не знадобиться змінювати це значення. У запиті ми будемо міняти пароль, введений у вигляді випадкових символів.

Крок 2: У перехопленому запиті шукаємо параметр «response».

Малюнок 2: Запит, перехоплений під час авторизації

Під час дайджест-аутентифікації рядок у форматі ASCII, введена в якості пароля, була сконвертирована в шістнадцяткове значення, яке знаходиться в параметрі «response».

Крок 3: Обнулення параметра «response».

Малюнок 3: Запит зі зміненим значенням параметра «response»

Після зміни параметра «response» на сервер буде відправлено порожнє значення замість шістнадцяткового.

Крок 4: Відправляємо запит і успішно проходимо авторизацію.

Малюнок 4: Авторизація завершилася успішно

Порожній рядок, надіслана на сервер, потрапляє як аргумент у функцію порівняння, після чого обробка запиту відбувається у звичайному режимі. Функція повертає 0, і всі умови для успішної аутентифікації виявляються виконаними.

Висновок

Сценарій на основі уразливості CVE 2017-5689 може бути реалізований дуже швидко і все ще може стати причиною фатальних наслідків для багатьох систем. За допомогою цієї прогалини зловмисник може завдати фізичної шкоди всій комп’ютерній системі або навіть мережі. Оскільки Intel ME досі функціонує, незважаючи на відключення AMT, опинившись в мережі, зловмисник може активувати цю опцію в інших системах і продовжити експлуатацію уразливості. Для цієї прогалини CVSS, безсумнівно, дорівнює 9.8.

Посилання

· https://www.blackhat.com/docs/us-17/thursday/us-17-Evdokimov-Intel-AMT-Stealth-Breakth rough-wp.pdf

· https://nvd.nist.gov/vuln/detail/CVE-2017-5689

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

292

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх