Le message le plus clair que j'ai vu à ce sujet est celui de Matthew Garrett (y compris les commentaires).
Matthew a maintenant publié un outil pour vérifier votre système localement: construisez-le, exécutez-le avec
sudo ./mei-amt-check
et il indiquera si AMT est activé et provisionné, et si c'est le cas, les versions du firmware (voir ci-dessous). Le README contient plus de détails.
Pour analyser votre réseau à la recherche de systèmes potentiellement vulnérables, scannez les ports 623, 624 et 16992 à 16993 (comme décrit dans le propre document d'atténuation d' Intel ); par exemple
nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24
analysera le réseau 192.168.1 / 24 et signalera l'état de tous les hôtes qui répondent. Être en mesure de se connecter au port 623 peut être un faux positif (d'autres systèmes IPMI utilisent ce port), mais tout port ouvert de 16992 à 16995 est un très bon indicateur d'AMT activé (du moins s'ils répondent de manière appropriée: avec AMT, cela signifie une réponse HTTP sur 16992 et 16993, cette dernière avec TLS).
Si vous voyez des réponses sur les ports 16992 ou 16993, la connexion à ceux-ci et la demande à l' /
aide de HTTP renverront une réponse avec une Server
ligne contenant «Intel (R) Active Management Technology» sur les systèmes avec AMT activé; cette même ligne contiendra également la version du firmware AMT utilisé, qui peut ensuite être comparée à la liste donnée dans l'avis d' Intel pour déterminer s'il est vulnérable.
Voir la réponse de CerberusSec pour un lien vers un script automatisant ce qui précède.
Il existe deux façons de résoudre le problème «correctement»:
- mettre à jour le firmware, une fois que le fabricant de votre système a fourni une mise à jour (si jamais);
- évitez d'utiliser le port réseau fournissant AMT, soit en utilisant une interface réseau non compatible AMT sur votre système, soit en utilisant un adaptateur USB (de nombreux postes de travail AMT, tels que les systèmes C226 Xeon E3 avec ports réseau i210, n'ont qu'un seul AMT). interface réseau compatible - le reste est sûr; notez que AMT peut fonctionner sur le wi-fi, au moins sur Windows, donc l'utilisation du wi-fi intégré peut également conduire à une compromission).
Si aucune de ces options n'est disponible, vous êtes en territoire d'atténuation. Si votre système compatible AMT n'a jamais été configuré pour AMT, alors vous êtes raisonnablement en sécurité; activer AMT dans ce cas ne peut apparemment être fait que localement, et pour autant que je sache, il faut utiliser le firmware de votre système ou le logiciel Windows. Si AMT est activé, vous pouvez redémarrer et utiliser le firmware pour le désactiver (appuyez sur CtrlPlorsque le message AMT s'affiche pendant le démarrage).
Fondamentalement, bien que la vulnérabilité de privilège soit assez désagréable, il semble que la plupart des systèmes Intel ne soient pas réellement affectés. Pour vos propres systèmes exécutant Linux ou un autre système d'exploitation de type Unix, l'escalade nécessite probablement un accès physique au système pour activer AMT en premier lieu. (Windows est une autre histoire.) Sur les systèmes avec plusieurs interfaces réseau, comme l'a souligné Rui F Ribeiro , vous devez traiter les interfaces compatibles AMT de la même manière que vous traiteriez n'importe quelle interface administrative (compatible IPMI ou interface hôte). pour un hyperviseur VM) et isolez-le sur un réseau administratif (physique ou VLAN). Vous ne pouvez pas compter sur un hôte pour se protéger: iptables
etc. sont ici inefficaces, car AMT voit les paquets avant le système d'exploitation (et garde les paquets AMT pour lui-même).
Les machines virtuelles peuvent compliquer les choses, mais uniquement dans le sens où elles peuvent confondre AMT et ainsi produire des résultats d'analyse confus si AMT est activé. amt-howto(7)
donne l'exemple des systèmes Xen où AMT utilise l'adresse donnée à une DomU via DHCP, le cas échéant, ce qui signifie qu'une analyse montrerait AMT actif sur la DomU, pas sur le Dom0 ...