Ms Windows

Na początku tygodnia Microsoft wypuścił aktualizację dla systemów Windows 8, 8.1, 10 oraz wersji serwerowych z powodu wykrycia niezwykle poważnej luki bezpieczeństwa. Wykryta podatność pozwala na nieuwierzytelnione wykonanie kodu w systemie z pełnymi uprawnieniami bez jakiejkolwiek interakcji ofiary. Wystarczy otrzymać odpowiednio zainfekowanego maila (nawet nie trzeba go otwierać), aby złośliwy kod wykonał się w systemie. Ofiarą ataku można paść
również wprowadzając do komputera plik w inny sposób, np. na pamięci przenośnej.
Mowa tutaj o usłudze MsMoEng (Malware Protection service), która automatycznie skanuje nowe pliki w systemie. Zaleca się ręczne uruchomienie aktualizacji, jeśli system nie zrobił tego automatycznie, oraz instalację wszystkich dostępnych poprawek.
Pełny opis podatności można znaleźć pod poniższym linkiem:
https://bugs.chromium.org/p/project-zero/issues/detail?id=1252&desc=5

Procesory Intela


Intel ogłosił krytyczną podatność obecną w części procesorów udostępniających usługę zdalnego zarządzania AMT (Active Management Technology), ISM (Intel Standard Manageability) oraz SBT (Intel Small Business Technology) w wersjach od 6 do 11.6 włącznie. Podatność nie dotyczy:
- stacji roboczych z firmware procesora dostarczonym przez producenta trzeciego
- serwerów opartych na procesorze Intel i wykorzystujących Intel® Server Platform Services
- maszyn z procesorem Xeon® E3 i E5, wykorzystujących firmware Intel® SPS.

W wyniku trywialnej pomyłki programistycznej istnieje możliwość podłączenia się do komputera posiadającego podatny procesor i aktywne usługi zdalnego zarządzania oraz poprawne uwierzytelnienie się w usłudze poprzez podanie pustego hasła. Dalsze wykorzystanie usługi może doprowadzić do przejęcia systemu. Komputer nie musi być przy tym uruchomiony - wystarczy jeśli jest podłączony do prądu. Stosowany system operacyjny nie ma znaczenia - błąd jest na innej warstwie.

Błąd zaszyty był w mechanizmie porównywania hasła zapisanego i wprowadzonego. Trzecim parametrem wykorzystanej funkcji (strncmp) była liczba znaków. Programiści zaimplementowali sprawdzanie na podstawie długości hasła wprowadzonego przez użytkownika, a nie składowanego w systemie.

Informacje Intela:
- ogólne informacje:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075
- narzędzie umożliwiające samodzielną weryfikację, czy komputer jest podatny: https://downloadcenter.intel.com/download/26755
(wraz z instrukcją https://downloadmirror.intel.com/26755/eng/INTEL-SA-00075%20Detection%20Guide%20rev1.2.pdf)
- informacje umożliwiające wyłączenie podatnych usług AMT/ISM/SBT:
https://downloadcenter.intel.com/download/26754,
bezpośredni link: https://downloadmirror.intel.com/26754/eng/Intel-SA-00075%20Mitigation%20Guide-Rev%201.2.pdf

Informacje popularnych dostawców laptopów:
- HP - http://www8.hp.com/us/en/intelmanageabilityissue.html
- Lenovo - https://support.lenovo.com/us/en/product_security/LEN-14963
- Fujitsu - http://support.ts.fujitsu.com/content/Intel_Firmware.asp
- Dell - http://en.community.dell.com/techcenter/extras/m/white_papers/20443914

Zalecamy posiadaczom komputerów z procesorem Intela z uruchomionymi usługami zarządzania zdalnego sprawdzenie występowania podatności oraz - jeżeli komputer jest podatny - co najmniej wyłączenie usług odpowiedzialnych za możliwość zdalnego zarządzania maszyną, a optymalnie aktualizację firmware.

Więcej informacji:
https://thehackernews.com/2017/05/intel-amt-vulnerability.html
(ogólnie, artykuł producenta)
https://www.embedi.com/files/white-papers/Silent-Bob-is-Silent.pdf
(technicznie, artykuł odkrywcy podatności)