英特尔漏洞门/Intel AMT 固件漏洞危害与防护(CVE-2017-5689)_入门网安自学路线

最新推荐文章于 2024-05-30 17:35:04 发布
最新推荐文章于 2024-05-30 17:35:04 发布
阅读量412 收藏 10
点赞数 3
文章标签: 漏洞 固件 关机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84915584/article/details/139326390
版权

英特尔漏洞门/Intel AMT 固件漏洞危害与防护(CVE-2017-5689)_入门网安自学路线

1、漏洞概述1.1、漏洞固件功能简介

Intel Core vPro依靠Intel的主动管理技术(AMT)来实现,当开启该功能之后,即使在关机的情况下也能对电脑进行远程管理,可查看状态、安装、更新软件或系统、浏览磁盘文件等。

Intel Core vPro处理器包含一个的远程访问功能,即使在电脑关机的情况下,也可准确地访问该电脑。Core vPro 包含一个独立的物理处理单元ME并嵌入在CPU中,ME拥有独立的操作系统。只要电源充足,该ME即可以系统的幻影权限( ’s power)运行,并访问任何硬件。

Intel CPU在Sandy Brige之后,使用的 Anti Theft 3.0技术,将为每一个CPU嵌入3G通信模块。这就意味着你的电脑即使关机且断网,也存在被入侵的可能。即使你的内存拔掉了,vPro还是可以访问你的硬盘,因为ME中拥有自己的内存。

1.2、漏洞成因

为了防止功能被未授权的用户滥用,AMT服务会使用HTTP摘要认证和验证机制。权限提升漏洞就出现在Intel AMT Web界面通过HTTP摘要认证协议认证用户的环节。

用户先发起一个没有认证证书的登陆请求,作为响应,服务器回复一个随机数(称作“nonce”)、HTTP方法以及请求的URI。接下来用户就会被提示输入用户名和密码。输入后,客户端就会发送一个加密的字符串(),字符串是使用一个单向的加密函数生成的一个消息摘要( ),该摘要由用户名、密码、给定的nonce值、HTTP方法,以及所请求的URI生成。而服务器端也会通过数据库中的用户名密码计算一个类似的加密字符串()。服务器使用()函数对两个字符串进行比较,如果二者相符就会让用户登陆Intel AMT Web界面。

Intel AMT漏洞正是出现在()函数中,存在问题的代码:if((, , ))很明显,要认证成功,变量的值必须等于,因此无论长度如何,()函数的返回值必须为0。但是写这段代码的程序员错误地把的长度放到了()函数中,而非。

要想利用漏洞,未经授权的用户只需要发送空的值。由于()错误地用变量来认证用户。因此,发送null值就会让比较函数认为与相等,从而通过验证。

1.3、受影响版本

受影响的硬件版本6.x,7.x,8.x ,9.x,10.x,11.0,11.5和11.6

不受影响版本

第一代 Core : 6.2.61.3535

第二代 Core : 7.1.91.3272

第三代Core : 8.1.71.3608

第四代Core : 9.1.41.3024 and 9.5.61.3012

第五代Core : 10.0.55.3000

第六代Core : 11.0.25.3001

第七代Core : 11.6.27.3264

2、危害演示

1、通过、进行目标搜索,关键字可以是port:16992,或者添加其他关键字来缩小范围(例如,:Korea)

目标搜索

2、访问网站

网站访问

3、登录抓包修改

登录

4、修改数据包、登陆成功

5、添加用户

6、新用户重新登陆,并且查看远程管理

7、另一目标,关机状态也可开机

关机服务器连接

8、 Tool使用创建的用户名进行管理,可在 KVM中使用vnc进行BIOS和系统的远程管理

客户端管理

3、漏洞防护3.1、固件漏洞防护

要修复这个漏洞必须让设备厂商更新固件,不过也可以通过一些缓解措施处理。这些更新虽然是由英特尔开发的但必须经过厂商的加密签名并分发。希望厂商能在未来几周内及时推出,用户要尽快安装这些补丁。如果设备的厂商是大公司,如戴尔、联想、HP等,那么补丁会很快推出,但如果是小公司那么补可能永远不会推出。

3.2、Intel处置建议

第一步: 确认你的设备是否为具备AMT、SBA、ISM功能的系统,参照文档 。如果不是,不需要做什么操作。

第二步: 使用工具检查系统使用了有漏洞的固件,参照文档 。如果你的系统已经是如上的不受影响的版本,不需要更多操作。

第三步: 英特尔强烈推荐检查设备的OEM厂商是否提供了更新后的固件,它会有一个3开头的4位版本号(X.X.XX.3XXX),比如 8.1.71.3608 。

第四步: 如果设备厂商还没有提供修补漏洞的固件,缓解措施请参考文档

3.3、自行关闭AMT

AMT包含硬件与软件两个部分,不能单独直接删除软件,否则设备管理器会看见黄色的小问号了。下面大致简单介绍一下删除方法,主要是有以下两部分:

第一步:重新启动计算机,并在开机的时候进入BIOS系统,关闭AMT

通常在“”-“Intel(R) AMT”

然后把选项“AMT ” 设置为“”

把 变为 然后保存退出,等待系统重新 AMT.

注意:不要改变其它无关选项, 只需要把AMT 变为“”就行

第二步:计算机重新启动后, 删除AMT软件

进入“控制面板”-“管理工具”-“程序和功能”

然后选择“英特尔主动管理技术”进行卸载

~

网络安全学习,我们一起交流

~

黑客小媚子
关注
CPU漏洞简介
m0_74043383的博客
07-28 284
首先介绍CPU漏洞的采集方式,然后进行分类并简要介绍各漏洞的利用过程。
施耐德NOE77101以太网模块固件逆向漏洞挖掘
weixin_51194266的博客
05-10 1722
MIS 固件逆向漏洞挖掘 实验目的 选取任意一个路由器、摄像头或者其它智能设备的固件漏洞,对目标固件进行逆向工程和漏洞分析,剖析漏洞机理,找到漏洞利用方法,编写漏洞利用代码,展示漏洞利用效果,简述漏洞防护方法;标明漏洞CVE编号,压缩包中包含固件、源代码等。 实验准备 所选固件:施耐德NOE77101以太网模块固件 漏洞编号:CVE-2011-4859 漏洞选择理由:施耐德公司的大量PLC设备被大量部署于我国能源、电力、化工等行业工业控制网络中,比如Modicon Quantum 系列PLC作
Intel CPU漏洞介绍
小宇宙的专栏
01-16 1999
Intel CPU漏洞 简介:关于最近接连爆出的CPU漏洞,做一个简单的介绍。 CPU漏洞介绍 最近听说的两个CPU漏洞,一个是熔断漏洞(Meltdown),一个是幽灵漏洞(Spectre)。 熔断漏洞利用CPU乱序执行技术的缺陷,破坏了内存隔离机制,使恶意程序可越权访问操作系统内存数据,造成敏感信息泄露。 幽灵漏洞利用CPU推测执行技术的设计缺陷,破坏了不同应用程序间的逻辑
CVE-2017-5689(智能Intel产品AMT本地及远程提权漏洞
Fly_鹏程万里
03-11 1625
前言本博客只做技术研究与分享,如果有恶意使用本博客中所涉及到的技术触犯法律,本博主概不负责!环境搭建和涉及到的安全类工具Kali1.0.9 虚拟机一台 Burpsuite 抓包软件 Shadan注册用户一个 火狐浏览器一个 漏洞介绍漏洞CVE-2017-5689,是英特尔一个高危提权漏洞,影响的范围包括过去7年英特尔服务器芯片的远程功能,远程攻击者可以利用漏洞来控制存在风险的PC,笔记本电脑...
Iintel CPU 漏洞科普和分析
wonderyoung的专栏
01-07 2289
场景模拟和漏洞科普: 有一个小区的物业非常认真负责,管理严格服务周到且值得信赖,物业拥有住户的所有信息,而且绝对不会允许一个住户查看另一住户的信息; 小区里面有两个业主A和B,不怀好意的业主A一直想打探一下住户B的车牌号,无奈物业既不允许查看他人财产信息,B行踪不定A也无法跟踪。来看一下业主A如何利用小区管理漏洞盗取业主B的车牌号: 物业对业主提出的诉求有着严格的权限检查,比如业主A提出要开
intel漏洞知乎/intel处理器漏洞-手把手教白客知识点
最新发布
2401_84915584的博客
05-30 311
Intel CPU存在两条未被记录的指令,“有心人”能够通过这两条指令,改写相应的微代码,最终做到控制整个CPU乃至整个计算机系统。
hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip
05-20
标题 "hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip" 指向的是一个与海康威视(Hikvision)设备相关的安全漏洞,具体是CVE-2017-7921认证绕过漏洞。这个压缩包可能包含一个工具或指南,用于解析...
CVE-2017-3506-Poc.zip_CVE-2017-3506_CVE-2017-3506 poc_CVE-2017-3
09-24
**CVE-2017-3506:Apache Struts2远程代码执行漏洞** Apache Struts2是一款广泛使用的开源Web应用框架,它为开发者提供了一种构建基于MVC(Model-View-Controller)模式的Java Web应用程序的方式。在2017年,Apache...
44913_sale3ho_CVE-2017-12636_POC_
09-30
标题 "44913_sale3ho_CVE-2017-12636_POC_" 提供的信息表明,这是一个与安全漏洞CVE-2017-12636相关的PoC(Proof of Concept)代码。POC通常是由安全研究人员或黑客创建的,用于证明一个特定漏洞确实存在并且可以被...
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
【Node.js CVE-2017-14849 漏洞分析】 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时,它提供了高效的事件驱动、非阻塞 I/O 模型,使得开发高性能的网络应用变得简单。Express,则是建立在 Node.js 平台...
CVE-2018-8120-exp.zip_C++_CVE-2018-8120_cve_漏洞利用
09-23
**CVE-2018-8120详解:Windows LSA权限提升漏洞** CVE-2018-8120是一个针对Windows操作系统的安全漏洞,它属于本地权限提升(Local Security Authority Subsystem Service, LSA)漏洞类型。这个漏洞主要影响Windows...
【安全】intel cpu 漏洞 个人用户检测 修复方案
而浮生若梦,为欢几何
01-11 1670
1·检测浏览器是否可以被该漏洞利用攻击:http://xlab.tencent.com/special/spectre/spectre_check.html 360浏览器该版本无问题 谷歌浏览器该版本之前有问题 近期披露的名为“幽灵”的 CPU 漏洞(Spectre,CVE-2017-5753、CVE-2017-5715)对个人用户最大的风险是通过
Intel ME制造模式漏洞曝光
asdf8968的博客
10-03 1073
俄罗斯厂商Positive Technologies的安全研究人员公开了借助Intel ME的制造模式(俄文版本)实现INTEL-SA-00086的漏洞利用,INTEL-SA-00086是Positive Technologies的安全研究人员于2017年12月公开的一组针对Intel ME各种实现的漏洞。 版本跨度很大,影响到了数十年前的Core系列到较新的Apollo Lake,而且这个...
IntelAMT 固件密码绕过登录漏洞分析与实战
weixin_34148456的博客
05-24 658
IntelAMT 固件密码绕过登录漏洞分析与实战Byantian365.com simeon1.1漏洞简介    2017年5月1日,英特尔公布了AMT漏洞INTEL-SA-00075),但该漏洞的细节未公开。2017年5月5日,Tenable公司研究人员卡洛斯·佩雷斯通过分析LMS软件包,最终发现并成功利用该漏洞。1.漏洞编号    IntelAMT 固件密码绕过登录漏洞CVE漏洞编号CVE-...
英特尔处理器上有8个新的漏洞
guesscan的专栏
05-19 3761
安全英特尔处理器上有8个新的漏洞(Spectre-NG)由Ashkan 最后更新于1397年5月27日  490 0一个安全研究团队最近宣布从Spectre类中发现了八个漏洞。研究人员表示,这些安全漏洞主要集中在英特尔的CPU上,但也会影响一些AMD和ARM处理器。这些漏洞是Spectre-Next Generation或者   Specter-NG Spectre。详细信息在第一时间相对脆弱的。...
Intel产品AMT本地及远程提权漏洞CVE-2017-5689)复现 【转载自freebuf.com】
weixin_30756499的博客
01-18 268
零、绪论: 1、鸣谢freebuf的文章,主要是学习这个漏洞,文章地址:Intel产品AMT本地及远程提权漏洞CVE-2017-5689)复现 2、在shadon上找了多个该漏洞尝试复现失败(评论区有人复现成功,所以方法肯定可行),我的免费用户只能查看前两页,存在如下两种可能性: (1)我尝试的靶机已经被打了补丁,或者默认账户已经被所有者或攻击者修改。 (2)此WEB服务器有版本区别,...
多款Intel产品未授权访问漏洞(CVE-2017-5689)
Darklord.W
10-16 787
漏洞简介 漏洞描述 英特尔通过其 vPro 商务处理器平台提供了 IntelActive Management Technology(AMT)技术,这项技术能让IT管理人员远程管理和修复PC、工作站和服务器。 这项预设的功能使用基于Web的控制页面,通过远程端口16992和16993让管理员远程管理系统。为防止功能被未授权的用户滥用,AMT服务会使用HTTP摘要认证和Kerberos验证机制。权限提升漏洞出现在web控制界面的认证用户环节。 影响范围 第一代 Core fa...
MFC实现五子棋游戏
热门推荐
博采众长,自成一派;
12-28 1万+
MFC制作五子棋 一、结果展示: 二、需求分析: 1)五子棋游戏逻辑分析: 五子棋游戏规则简单易懂:棋盘大小为15*15;棋子分为黑白两色;若任意一方在“米字格”任意方向连成5子即为赢得胜利; 2)MFC程序功能分析: 2.1)程序支持选择棋盘颜色,并且菜单项界面要随之发生更新; ...
保护您的计算机:如何在 Windows 系统中停用英特尔管理引擎组件
winkexin的博客
07-04 1428
英特尔管理引擎是一个嵌入式微控制器,位于英特尔的一些芯片组内。它运行一个非常轻量级的基于 MINIX 的微内核操作系统,为基于英特尔处理器的计算机增加自己的功能和支持。该引擎由主板上的 CMOS 电池供电,因此它始终处于供电状态,即使许多其他系统组件处于睡眠状态,包括电源装置(PSU)。这使得该引擎能够响应IT管理控制台的 Out Of Box(OOB)命令,而不必唤醒系统的其他部分。英特尔管理引擎在系统初始化期间从系统闪存中加载其代码。因此,该引擎可以在主操作系统之前运行。
CVE-2017-7525漏洞检测PoC示例与分析
漏洞检测CVE-2017-7525是一个与Apache Xalan XML处理器相关的安全漏洞。这个PoC(Proof of Concept)脚本展示了如何利用该漏洞进行攻击,通常在IT安全评估和漏洞管理中扮演关键角色。CVE-2017-7525涉及到远程代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值