Plus précisément, la faille se trouve dans les versions 6 à 11.6 ( 6.x, 7.x, 8.x, 9.x, 10.x, 11.0, 11.5, et 11.6) de microprogramme de sa technologie AMT (Intel Active Management Technology, un système matériel et micrologiciel d'administration et de prise de contrôle à distance des ordinateurs personnels), ISM (Standard Manageability) et SBT (Small Business Technology). Selon Chipzilla, la faille de sécurité peut permettre à « un attaquant ne disposant pas de privilèges de prendre le contrôle des fonctionnalités de gestion fournies par ces produits ».
En clair, cela signifie qu'il est possible pour les pirates de se connecter à un matériel informatique vulnérable et d’effectuer silencieusement des manipulations sur la machine (installation de logiciels malveillants, etc.) en s’appuyant sur des fonctionnalités d'AMT. Ceci est potentiellement possible sur l'ensemble du réseau, car AMT a un accès direct au matériel réseau de l'ordinateur.
Depuis près d’une décennie, Intel a livré de nombreux chipsets avec ces fonctionnalités de gestion, notamment en commençant par le Nehalem Core i7 en 2008, jusqu'en Kaby Lake Core de cette année. De plus, la vulnérabilité réside au cœur même du silicium d'une machine, hors du système d'exploitation, de ses applications et de tout antivirus. Aussi, pour résoudre ce problème, il est nécessaire de passer par une mise à jour au niveau du firmware.
Le service AMT vulnérable fait partie de la suite vPro d'Intel de fonctionnalités de processeur. Fondamentalement, si vous utilisez une machine avec vPro et AMT activés, alors vous êtes vulnérables. Intel estime cependant que la vulnérabilité pourrait plus affecter les entreprises que les individus ordinaires, étant donné que le premier groupe d’utilisateurs est plus susceptible d’avoir ces deux services activés.
Intel a communiqué sur cette vulnérabilité critique, intitulée CVE-2017-5689, qui a été découverte et signalée en mars par Maksim Malyutin à Embedi : « En mars 2017, un chercheur en sécurité a identifié et signalé à Intel une vulnérabilité critique sur le firmware dans les PC d'entreprise et les périphériques qui utilisent Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) ou Intel Small Business Technology (SBT) », a déclaré un porte-parole de l’équipementier.
« Les PC des consommateurs ne sont pas touchés par cette vulnérabilité. Nous ne connaissons aucune exploitation de cette vulnérabilité. Nous avons implémenté et validé une mise à jour du microprogramme pour résoudre le problème et nous coopérons avec les fabricants d'équipements pour les mettre à la disposition des utilisateurs finals dès que possible », a-t-il continué.
Plus précisément, Intel a expliqué dans un billet de blog :
- qu’un attaquant de réseau non privilégié pourrait obtenir des privilèges de système pour les modules de gestion Intel intégrés : Intel Active Management Technology (AMT) et Intel Standard Manageability (ISM) ;
- qu’un attaquant local sans privilège pourrait fournir des fonctionnalités de gestion permettant de bénéficier de privilèges de réseau ou de privilèges locaux non privilégiés sur les réseaux de gestion Intel : Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) et Intel Small Business Technology (SBT).
Cependant, SemiAccurate précise que « même si votre machine n'a pas de SMT, ISM ou SBT, elle est toujours vulnérable, mais pas sur le réseau. Pour le moment, de ce que SemiAccurate a pu rassembler, il n'y a littéralement aucune boîte Intel fabriquée au cours des 9 dernières années qui n'est pas à risque ».
« Ce problème est exploitable à distance via l'adresse IP du système d'exploitation hôte si le service LMS est en cours d'exécution », a expliqué HD Moore, vice-président de la recherche et du développement chez Atredis Partners. « Les serveurs avec les ports TCP 16992 ou 16993 exposés et AMT activés seraient exploitables via l'adresse IP indépendante de l'AMT, ou dans le cas où LMS serait activé, l'adresse IP des systèmes d'exploitation hôtes. Un attaquant avec accès aux ports et connaissance de la vulnérabilité pourrait obtenir l'équivalent de l'accès authentifié à l'interface web AMT, ce qui peut entraîner une exécution de code arbitraire sur le système d'exploitation ».
Moore a déclaré qu'une requête utilisant le moteur de recherche informatique Shodan a détecté moins de 7000 serveurs montrant qu'ils avaient des ports 16992 ou 16993 ouverts. Le fait d'avoir ces ports ouverts est une exigence pour l'attaque à distance. Ce nombre de serveurs représente toujours une menace potentiellement importante, car des dizaines de milliers d'ordinateurs pourraient être connectés à certains de ces hôtes.
Ces attaques peuvent également être déployées lorsque le port TCP 623 est ouvert sur une machine.
Les entreprises qui possèdent LMS et AMT activés dans leurs réseaux devraient faire de l'installation du correctif une priorité. Celles qui ne peuvent pas immédiatement installer des mises à jour firmware devraient suivre les instructions d’atténuation proposées par Intel.
Source : Intel, SemiAccurate