Intel vient de corriger une faille critique affectant le firmware Management Engine (ME) depuis les … 1ers Core de 2008 ! Les machines professionnelles ...
Lire la suite ...

2008, ... Ils sont combien à corriger les failles critiques ? ^^

Theoriquement, ca devrait etre corrige a travers un microcode.
 
En general ces implementations hardware pour "faciliter" le travail des Admin Sys ne servent quasiment a rien car c'est:
 
- Jamais totalement fiable
- Non perenne
- Tres contraignant a mettre en place
- Pas securise du tout
- En plus d'avoir un surcout sur le hardware qui peut aller jusqu'au double facilement (cf PC pro).
 
Pour les plus connus: Computrace (vulnerable), Intel Anti-Theft (n'existe plus), etc.
 
C'est pour cela que c'est tres rarement utilise, meme dans les grosses boites.
Bref, a ne surtout pas utiliser et a desactiver de toute urgence dans vos BIOS.
 
Il n'y a rien de mieux qu'une bonne encryption, ne pas mettre le PC en veille/hibernation et un mot de passe d'au moins 20 caracteres pour vraiment se proteger de pertes/vol de donnees.
 
 
 
PS:
 
Pour rappel -vu que cette question n'a jamais ete correctement elucidee en general, surtout pendant le blocage de l'OC sur Skylake non K-, le microcode d'un CPU peut se mettre a jour:
 
- Via un update du BIOS de la carte mere qui lui va push un microcode CPU vers le CPU.
 
- Via une mise a jour totalement classique de l'OS qui embarque le microcode.
 
Pour ce qui est du blocage de l'OC sur les Skylake non-K, vous ne pouvez donc pas y echapper...
 
... A moins que vous possedez une carte mere avec un generateur de clock externe -totalement independent du BCLK- comme les ASRock de serie Hyper; notamment les F4t4l1ty.

La faille n'a été découverte qu'en mars dernier (par Maksim Malyutin) mais elle affecte tous les produits pros depuis 2008...
Tant que l'on ne tombe pas dessus, les failles ne sont pas connues...

Le probleme c'est qu'on ne sait pas qui a pu deja tombe dessus depuis...

Non, le microcode CPU c'est autre chose.

AMT est un "programme" (optionnel) qui tourne sur le ME. Le ME pour rappel, c'est un processeur indépendant, ajouté par Intel dans ses chipsets, qui a la main complète sur le système par dessus tout le reste. C'est un CPU RISC ARC https://en.wikipedia.org/wiki/ARC_(processor) qui a un accès direct à tout comme les contrôleurs réseaux y compris WiFi avec accès OOB (accès invisibles pour le système), le DMA, et même la possibilité de rebooter/arrêter le système. Toute faille à ce niveau redéfini la notion de critique vu que l'on est techniquement en ring -3. Au delà d'AMT c'est tout le modèle de sécurité du ME qui pose question depuis des années. Ca n'est pas la première fois qu'Intel a des problèmes de ce type cf ici avec le Q35 attaqué par un autre côté à l'époque : http://invisiblethingslab.com/reso [...] otkits.pdf

Techniquement le firmware du ME est placé dans le BIOS et il est updaté par ce biais (ceux qui ont une CM Intel ont peut etre vu ces dernières années des updates de BIOS en deux temps, flash du BIOS via la carte mère, un premier reboot et un message updating ME firmware et un dernier reboot avant d'être opérationnel). Donc le fix sera distribué via BIOS pour les plateformes concernées (si les constructeurs déploient des BIOS, ce qui pour des plateformes datant de 2008 n'est pas gagné pour l'intégralité des produits potentiellement touchés). Comme c'est un bloc optionnel du ME, il n'est pas forcément fourni avec tous les BIOS. En théorie seuls les séries B et Q de chipsets ont l'AMT sur desktop, sur portable c'est beaucoup plus flou et Intel n'aide pas vraiment avec la description excessivement floue des matériels potentiellement touchés ou sa description du bug. Donc c'est au cas par cas. Apple a confirmé qu'aucun de ses produits n'a le bloc AMT dans ses firmwares ME.

cette faille peuT permettre

 
Devant autant de precisions, vous m'avez fait jou...    
 
Plus serieusement, merci pour les explications !

 
Ah ok, je pensais que le bug était connu depuis longtemps, mais ci c'est la cas, je retire ce que j'ai dis, ils sont plutôt rapide, et c'est plaisant de voir qu'il corrige rapidement ce genre de problème.

Je me trompe ou l'amt peut se désactiver dans certains bios? Dans ce cas, pas de problème?

Selon les cartes mères on peut désactiver AMT oui, mais pas systématique (surtout sur les portables). Mais ca ne résout pas totalement le problème.
 
Apparemment, désactiver AMT dans le BIOS permet de couper la faille distante oui (qui est catastrophiquement critique).  
 
Pour l'escalation locale par contre (qui n'est pas beaucoup moins grave vu jusqu'où elle monte) ça ne changerait rien à ce que j'ai lu pour l'instant. Désactiver AMT coupe juste le serveur web qui permet l'accès distant mais ne coupe pas tout AMT qui reste partiellement actif sur le ME.

Peut-être qu'en utilisant un firmware ME 1.5Mo à la place d'un ME 5Mo (avec AMT), le block AMT ne serait pas opérationnel... mais les risques de "briquer" la CM ne sont peut-être pas négligeables aussi

C'est moi ou la faille critique, c'est que quelqu'un d'autre que l'utilisateur peut faire ce pour quoi le programme existe?  C'est du même niveau que si tout le monde a la même clé de voiture qui ouvre toutes les voitures en fait... Et il leur faut quasi 10 piges pour se rendre compte qu'il y a un problème ?
 
Comme on dit toujours aux débutants, en informatique, le bug, il est souvent entre le clavier et la chaise...
 

 
C'est de l'OOB, donc en fait tu t'en rendrais même pas compte. Et même PC "éteint".

Pour les (télé)teubés comme moi qui ne pinent rien aux pages d'Intel, quelqu'un pourrait faire une liste exhaustive des produits grand public touchés par cette faille svp ?

c est pas évident de trouver si sa machine est affectée.
A priori, cela concerne surtout les appareils 'pro', ceux avec la techno vPro : https://communities.intel.com/docs/DOC-5693
https://en.wikipedia.org/wiki/Intel_vPro
il faut des chipset Q ou S pour cela.
La majorité des PC gd public récents ne seraient donc PAS concernés.

Par contre, les vieux laptop équipés en Core2/Centrino avec les chipsets GS/GM seraient 'vPro' capable, donc il faut s assurer que les options dans le bios sont bien désactivées!
Car évidemment, il faut pas rêver: les machines gd public qui ont 5 ans et plus n auront pas de bios update!

Les firmwares ME sur les PC récents peuvent être mis à jour depuis Windows via une application fournie par Intel (à lancer en mode administrateur bien sûr) sans que le bios soit changé.
Pour les PC plus anciens, cela semble pareil. Par exemple, la version 6.2.60.1066 pour les Core™ I7 processor I7-640LM, Core™ I5 processor I5-520M, Core™ I3 processor I3-330M... utilise bien l'application pour être mise à jour:
http://www.station-drivers.com/ind [...] 98&lang=fr

Il faudra guetter si Intel rend public toutes les versions des firmwares ou non...

Le plus beau, c'est que j'ai une Intel DQ67OW (fabriquée, conditionnée et vendue sous la marque Intel) et que ces boulets, ne sortent pas de bios avec le firmware mis à jour (comment te pousser à racheter du matos puisqu'il n'y à aucun outil pour injecter des firmware dans les bios Intel)

Les Macbooks l'implémentent. Le Macbook volé de l'équipe Fillon a été récemment effacé à distance comme ça.
Il suffit d'activer le fonction chez Apple, comme pour les iPhones/iPad. Dès qu'on ouvre le Macbook, si le wifi arrive à se connecter au Web, avant même de lancer une session, on pourra soit bloquer un contenu chiffré soit effacer le Mac. On peut programmer des conditions d'activation partiel et de test réseau à des heures précises, du Macbook, sans même que le Macbook se lance. Ca vaut pour la plupart des portables haut de gamme à base d'Intel mais il faudra un serveur pour remplacer le réseau Apple qui le gère lui-même pour les Macbooks..

Tu as un nom pour ce systeme integre chez les macs ?
 
Parce que vu ce que tu me dis, ca ressemble plus a un systeme logiciel que materiel.
 
Le premier etant facilement contournable pour quelqu'un un minimum au courant.

c'est software

Ça m'inquiète un (mais pas trop quand même   ) cette histoire.
 
J'ai mon serveur maison avec chipset G35 et proc Xeon E5450 qui est branché 24h/24 sur internet. Je voudrais point qu'il prenne des risques. J'ai suivi les liens chez Intel mais j'ai bien du mal à déterminer s'il est concerné. Ce qui est sûr, c'est que je n'ai rien activé du côté de l'AMT ou autre truc vPro d'Intel. Mais d'un autre côté, je n'ai rien désactivé non plus dans le BIOS. Mon serveur tournant sous une distro linux spéciale serveur, il est peu probable qu'il ait activé quelque chose à l'insu de mon plein gré.
 
Si je comprends bien le tableau en lien, le G35 ne gère pas l'AMT.

Je traduis cette news : il s'agit tout simplement d'une backdoor pour big data.
 
Au bout d'un certain moment, on s'en rend compte, l'info circule et sa fait tâche.
 
Un coup de com pour régler le "problème" au niveau du public (rassurez-vous, il y a des redondances), circulez y'a rien à voir.
 
Edit pour le redface, c'est un minimum

ils ne disent pas si la technologie intel AMT est désactivé dans le BIOS la faille est tout de même exploitable ?
 
Edit : Cwiz a répondu plus haut...

Juste pour qu'il n'y ait pas de confusion avec la news, Apple n'utilise pas AMT pour implémenter cette fonction, c'est leur propre système de localisation/wipe distant. https://support.apple.com/kb/PH2701?locale=fr_FR

Cf mon message précédent, il y a deux failles, une réseau et une escalation locale. Intel ne donne pas de précision donc personne n'est certain a 100% mais :
- La faille réseau ne serait pas exploitable si désactivé dans le bios
- La faille locale serait exploitable si désactivé dans le bios (et permet en cascade d'activer AMT donc la faille du dessus)

Connu pas depuis hier quand même. Je n'ai pas encore lu tous les liens, mais le document est quand même extrêmement instructif sur l’ampleur et l’envers du décor, et confirme l'analyse de HFR.
 
https://semiaccurate.com/2017/05/01 [...] platforms/
 
Et de plus, il n'y aurait pas uniquement les machines type vPRO comme indiqué par Intel qui seraient concernées.

Les mises à jours arrivent progressivement sur station-drivers.
Pour le moment il n'y a de disponible que deux versions:
Intel Management Engine (ME) Firmware Version 11.0.25.3001 (S&H)(5Mo)
Intel Management Engine (ME) Firmware Version 11.6.27.3264 (S&H)(5Mo)

http://www.station-drivers.com/ind [...] 91&lang=fr

Il s'agit bien sûr de versions 5Mo (avec AMT donc).

ATTENTION! si vous ne savez pas si cette version est faite pour votre ordinateur alors ne faites rien !
Comme indiqué dans le tableau Intel, ce sont les deux premiers nombres qui comptent suivant la plateforme (ici 11.0.x.x et 11.6.x.x) mais également depuis Skylake le type de CPU (S&H) (généralement desktop) ou (U&Y) (généralement portable)
 
Dans l'archive, il y a l'application permettant de mettre à jour le firmware mais également une pour connaitre la version actuelle. Le nom du fichier est MEInfoWin64.exe (64bit) et MEInfoWin.exe (32bit).
Cela doit également vous renseigner sur le type de MEI. 1.5Mo (sans AMT) et 5Mo (avec AMT).

Follow up avec la faille détaillée, ca peut en aider certains : https://www.tenable.com/blog/redisc [...] nerability
 
J'avoue une certaine circonspection devant la faille...

En effet:
"Continuing to dig, we used a NULL/empty response hash (response="" in the HTTP Authorization header).
Authentication still worked. We had discovered a complete bypass of the authentication scheme."

C'est tellement gros qu'on se demande si cela a déjà été testé...
D'un autre coté, il semblerait qu'il faille quand même activer et installer un bon nombre de choses pour être impacté.
Mais pour les entreprises se servant de cette fonction, il est effectivement recommandé de mettre à jour leurs systèmes ou bloquer les ports TCP 16992 or 16993...

Petit retour d'expérience. J'ai lancé le logiciel d'identification de vulnérabilité d'Intel disponible ici :
https://downloadcenter.intel.com/download/26755
 
Résultat, machine vulnérable.
J'ai ensuite mis à jour le firmware de l'Intel Management Engine de ma machine avec la version mise à disposition par le constructeur de mon ordinateur.
 
Nouveau lancement du logiciel de détection Intel. Résultat : monté de version du ME, et résultat d'analyse passé maintenant en "Not Vulnerable"...

ça n’empêche que bonjour la confiance, tu paye ton cpu la peau des rouleaux, ta carte mère à prix d'or, et au final on t'annonce qu'il a fallu 10 piges pour corriger une failles que d'autres avaient découvert avant eux mais qu'ils ont eu traité de parano ...

GG intel, content qu'amd soit à nouveau dans la course

sinon pour les intéressés il y'a un moyen expérimental de dégager le firmware sir sandy et ivy bridge tout en préservant le fonctionnement du matériel (à tester si vous êtes dans le cas de ceux qui n'auront pas de maj et n'êtes pas assez patient pour voir revenir le fw en standalone)
http://hackaday.com/2016/11/28/neu [...] nt-engine/

et lenovo devrait avoir mis à dispo des maj des firmware me pour sandy bridge et associés d'ici le 17 mai (à première vue, c'est des outils intels dont peut etre utilisable sur du matos d'autre marque)

ps: j'ai utilisé l'outil intel sur un Asus X200CA (celeron 1007U 4Gb de ram) et il dit non vulnérable (alors que la version du firmware ME est "unknown" ) mais le bios date de 2008 ...

Je ne peux que te rejoindre sur la première partie. J'avais aussi ces aspects en tête, lorsque que je me suis équipé en portable AMD en début d'année.
 
Toutes informations alternatives peuvent être utiles à connaître en cas de besoin.
 
Merci également pour le calendrier Lenovo que je dois suivre également.
 
Pour l'Asus, chacun peut se faire son propre avis final, avec toutes les informations que nous commençons à avoir.

Vu l'absence de détails, on peut légitimement se poser la question effectivement... maintenant, il n'est pas totalement impossible non plus qu'il s'agisse d'injection de code (c'est ce qu'un site douteux indique, via l'habituel "packet_length" et ici en entrée de fonction d'authentification...), donc d'un code de très bas niveau foireux, ce qui serait assez dramatique.

Pour ceux que ça intéresse, HP à publié de nombreux correctifs et la compatibilité n'est pas limité au matériel HP (utilisé le SP80091 pour flasher ma carte mère intel sans encombre)

http://www8.hp.com/us/en/intelmanageabilityissue.html

pour les fainéants:

Sandy Bridge: ftp://ftp.hp.com/pub/softpaq/sp80 [...] p80091.exe
Ivy Bridge: ftp://ftp.hp.com/pub/softpaq/sp80 [...] p80090.exe
Haswell ME Ver 9.1: ftp://ftp.hp.com/pub/softpaq/sp80 [...] p80050.exe
Hasswell ME Ver 9.5: ftp://ftp.hp.com/pub/softpaq/sp80 [...] p80145.exe (pas encore en ligne)

Voilà pour le vieux matos en espérant que ça vous serve à vous ou a vos entreprises si des éléments de votre parc sont vulnérables (ça serait con d'attendre une a deux semaines qu'intel publie officiellement sur son site alors que le correctif est prêt depuis avril (voir MEAnalyzer sur les fichiers concernés)

De mes tests avant maj, la faille AMT n'est pas accessible par wifi si vous n'avez pas expressément autorisé AMT sur le wifi et installé les services sous windows (pour les particuliers un peu flippé)

Par contre, on va me traiter de théoricien du complot, mais la faille à été révélée en Mars à intel corrigée le 7 avril et seulement publiée début mai, je trouve ça douteux, surtout quand on considère que le monde de l'opensource à toujours émis des doutes sur les failles que peuvent représenter le ME. En tout cas, dernière fois que je prends un chipset Q et B, même avec la faille corrigée, le manque d'information et la "réactivité sans faille" d'intel va me faire fuire pour mes futures acquisitions en millieu professionnel

Pour les utilisateurs de Q67, les bios des cartes mères Q67 n’intègre pas de moyen de désactiver AMT ou le FW ME en entier, donc si vous utilisez vos pc en éthernet sans blocage des ports liés à AMT sur votre routeur, faites impérativement la màj

La page de win-raid concernant l'AMT est mise à jour régulièrement avec toutes les dernières versions trouvées :
http://www.win-raid.com/t596f39-In [...] Tools.html

Les firmwares et les outils pour le mettre à jour ou lire les informations de l'actuel sont dans deux archives distinctes.

Comme précédemment, ne mettez pas à jour votre système si vous n'êtes absolument certain de ce que vous faites...

Édit: même les vieux systèmes en 6.2 ont leur mise à jour...