AMT : Intel corrige une vieille faille critique dans des processeurs pour entreprises
Détecter, corriger, redémarrer
Le 02 mai 2017 à 09h30
5 min
Logiciel
Logiciel
Intel a publié hier un important bulletin de sécurité au sujet de deux failles présentes dans sa pile AMT (Active Management Technology). Elles sont désormais corrigées par un nouveau firmware, et même si elles ne touchent a priori que le monde de l’entreprise, il est recommandé d’y remédier au plus vite.
Il est rare qu’Intel avertisse d’une vulnérabilité dans l’un de ses produits. On en compte cette fois deux, dont une très sérieuse. Elles touchent trois produits, dont AMT, un ensemble de technologies que le fondeur fournit aux entreprises, offrant une longue liste de fonctionnalités de gestion, notamment pour la maintenance et la virtualisation.
Qu’est-ce que l’AMT ?
L’Active Management Technology est une pile prenant appui sur le Management Engine. Ce dernier est un petit microprocesseur que l’on trouve dans les processeurs Intel depuis une dizaine d’années. Quand AMT est active, elle communique par les ports 16992 et 16993 du réseau. La machine ne voit jamais ces paquets.
Dans le cadre d’un réseau d’entreprise configuré pour utiliser l’AMT, un administrateur peut se servir d’une console web pour diriger les machines compatibles. Il peut lancer diverses opérations, comme redémarrer une machine, installer un logiciel, effectuer une maintenance, etc. L’accès à cette console web se fait grâce à un mot de passe, mais l’une des deux failles permet justement de le contourner.
Une sérieuse faille dans de nombreuses versions
Le Management Engine en lui-même n’est pas concerné, mais trois produits le sont : Active Management Technology, Small Business Technology et Standard Manageability. Toutes les versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 et 11.6 sont vulnérables, autrement dit presque toutes depuis presque dix ans. Les moutures précédant la 6.x et après la 11.6 ne sont donc pas vulnérables.
Bien que les trois produits soient touchés, l’attention se concentre sur AMT, qui est au centre des mécanismes de gestion. Exploitée, elle permettrait à un pirate de s’emparer des fonctions de gestion du parc informatique d'une entreprise. En outre, elle est exploitable à distance, ce qui en augmente évidemment la dangerosité.
Exploitation : surtout un risque pour les serveurs
La question de l’exploitation soulève cependant des voix dissonantes. Bien que le communiqué d’Intel publié hier soit clair sur les produits et versions concernés, il ne dit rien sur le danger réel couru par les entreprises, ni d’ailleurs qui peut être réellement touché.
Selon SemiAccurate, Matthew Garrett ou encore HD Moore, il semble bien que le souci ne soit bien exploitable qu’en entreprise, si l’Active Management Technology est activée et surtout réellement utilisée. Les portes ports 16992 et 16993 doivent donc être ouverts pour laisser passer les ordres émis par l’AMT.
Pour Moore, le risque concerne avant tout les serveurs, puisque ce sont les machines traditionnellement utilisées pour l’administration des postes. Selon lui, une requête spécifique envoyée sur le moteur de recherche Shodan lui a renvoyé environ 7 000 résultats, ce qui représenterait le nombre de serveurs disponibles. Selon lui également, il faut que le Local Manageability Service (LMS) de Windows soit également activé.
Le risque potentiel est très élevé
Même si le chiffre paraît faible, il ne faut pas oublier que pour un serveur vulnérable à distance, on peut trouver des dizaines, voire des centaines de machines rattachées. Le danger ne vient pas de l’attaque sur le serveur proprement dite, mais bien des droits que gagne le pirate sur le réseau s’il parvient à en prendre le contrôle.
Par ailleurs, un autre facteur rend cette faille particulièrement dangereuse : le temps. Techniquement, elle est exploitable depuis la première génération de processeurs Core chez Intel. On sait donc qu’Intel vient manifestement de la découvrir et de la corriger, mais pas si la vulnérabilité étant connue de tiers pendant tout ce temps. Ses détails pourraient donc être entre les mains de pirates depuis des années.
Les entreprises peuvent suivre la procédure mise en place par Intel pour détecter des firmwares éventuellement concernés par ces failles. Le fondeur a publié un outil de détection et une marche à suivre en cas de mise à jour nécessaire. La plus importante des deux brèches étant considérée comme critique, il est recommandé de procéder au plus vite aux manipulations nécessaires.
Notez que si les entreprises sont dans l'impossibilité d'installer un nouveau firmware rapidement, elles peuvent consulter un guide fourni par Intel pour atténuer les risques. Dans les grandes lignes, il y est recommandé de désactiver un certain nombre de services et composants (dont LMS) pour réduire autant que possible la surface d'attaque potentielle.
AMT : Intel corrige une vieille faille critique dans des processeurs pour entreprises
-
Qu’est-ce que l’AMT ?
-
Une sérieuse faille dans de nombreuses versions
-
Exploitation : surtout un risque pour les serveurs
-
Le risque potentiel est très élevé
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/05/2017 à 09h50
je m’y connais très peu en admin sys, mais quel est l’intéret de cette technologie ? Pourquoi ne pas simplement utiliser les outils de gestions Linux/Windows ? ( vu que de toute façon il faut faire du spécifique pour la gestion des softwares ( et si ça se trouve ça marche pas sous Linux )
Le 02/05/2017 à 10h51
en gros, quand ton OS se plante, tu peux toujours prendre la main à distance
Le 02/05/2017 à 11h07
C’est un peu aussi au Poste de travail ce que sont HP iLO et Dell RAC au serveur. Tu peux vraiment gérer comme tu veux une machine.
Certains outils pro tel que Landesk Management Suite peuvent s’appuyer dessus (et c’est très puissant).
Le 02/05/2017 à 11h41
ça permet aussi d’interdire l’entrée en salle blanche des sys admin
" />
Le 02/05/2017 à 11h46
Tu peux faire un parallèle avec le Wake-on-Lan : un truc qui répond à un besoin hyper spécifique.
Tu peux gérer une machine éteinte.
Ou dont l’OS n’a pas démarré à cause d’un soucis de disque par exemple
Ou dont la carte réseau à perdu son IP
Bref un outil qui sert en cas de merde inhabituelle quoi ^^
Le 02/05/2017 à 12h36
Encore un truc intrinsèquement mal fichu.
Il vaut largement mieux un bête ipmi sur un réseau privé, puis laisser l’OS gérer la sécurité sur la console ipmi. C’est rustique, mais au moins il n’y a pas de faille.
Le 02/05/2017 à 13h05
Le 02/05/2017 à 13h17
Ok, merci pour vos réponses ! Je vois mieux l’utilité du truc :) " />
Le 02/05/2017 à 14h45
Le vrai souci est que cet outil n’est pas désactivable ce qui fait que tout PC Intel a une backdoor avec les droits root sur la machine. Miam !
Le 02/05/2017 à 15h33
Le 02/05/2017 à 20h10
Concrètement, avec mes machines sous le manchot, bureautique plus deux serveurs, j’ai quelque chose à faire à part prier que mes bécanes ne soient pas attaquées ? Je pose la question au cas où…
Le 02/05/2017 à 20h29
Y a t’il un logiciel Linux qui permet de savoir si on est touché par cette faille ?
Le 03/05/2017 à 05h50
Les NATer limitera déjà grandement les risques, en désactivant bien sûr l’UPnP sur ton routeur.
Le 04/05/2017 à 00h35
Le 04/05/2017 à 19h35
C’est comme un autre système attaché à ton système.