Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
2041 connectés 

  FORUM HardWare.fr
  Hardware
  HFR

  [HFR] Actu : Faille critique dans l'Intel AMT

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[HFR] Actu : Faille critique dans l'Intel AMT

n°10138999
Marc
Super Administrateur
Chasseur de joce & sly
Posté le 02-05-2017 à 14:53:23  profilanswer
0Votes positifs
 

Intel vient de corriger une faille critique affectant le firmware Management Engine (ME) depuis les … 1ers Core de 2008 ! Les machines professionnelles ...
Lire la suite ...

mood
Publicité
Posté le 02-05-2017 à 14:53:23  profilanswer
 

n°10139026
LeCavalier​Noir
Posté le 02-05-2017 à 15:18:59  profilanswer
4Votes positifs
 

2008, ... Ils sont combien à corriger les failles critiques ? ^^

n°10139030
Crosslink
A mort les kikoos '#Premium' !
Posté le 02-05-2017 à 15:24:22  profilanswer
1Votes positifs
 

Theoriquement, ca devrait etre corrige a travers un microcode.
 
En general ces implementations hardware pour "faciliter" le travail des Admin Sys ne servent quasiment a rien car c'est:
 
- Jamais totalement fiable
- Non perenne
- Tres contraignant a mettre en place
- Pas securise du tout
- En plus d'avoir un surcout sur le hardware qui peut aller jusqu'au double facilement (cf PC pro).
 
Pour les plus connus: Computrace (vulnerable), Intel Anti-Theft (n'existe plus), etc.
 
C'est pour cela que c'est tres rarement utilise, meme dans les grosses boites.
Bref, a ne surtout pas utiliser et a desactiver de toute urgence dans vos BIOS.
 
Il n'y a rien de mieux qu'une bonne encryption, ne pas mettre le PC en veille/hibernation et un mot de passe d'au moins 20 caracteres pour vraiment se proteger de pertes/vol de donnees.
 
 
 
PS:
 
Pour rappel -vu que cette question n'a jamais ete correctement elucidee en general, surtout pendant le blocage de l'OC sur Skylake non K-, le microcode d'un CPU peut se mettre a jour:
 
- Via un update du BIOS de la carte mere qui lui va push un microcode CPU vers le CPU.
 
- Via une mise a jour totalement classique de l'OS qui embarque le microcode.
 
Pour ce qui est du blocage de l'OC sur les Skylake non-K, vous ne pouvez donc pas y echapper...
 
... A moins que vous possedez une carte mere avec un generateur de clock externe -totalement independent du BCLK- comme les ASRock de serie Hyper; notamment les F4t4l1ty.

Message cité 2 fois
Message édité par Crosslink le 03-05-2017 à 08:51:45
n°10139063
nono0000
Posté le 02-05-2017 à 15:58:11  profilanswer
1Votes positifs
 

LeCavalierNoir a écrit :

2008, ... Ils sont combien à corriger les failles critiques ? ^^

 

La faille n'a été découverte qu'en mars dernier (par Maksim Malyutin) mais elle affecte tous les produits pros depuis 2008...
Tant que l'on ne tombe pas dessus, les failles ne sont pas connues...

Message cité 1 fois
Message édité par nono0000 le 02-05-2017 à 15:59:50

---------------
CPU: 5960X 4.4Ghz (Uncore: 4.0Ghz) WC HM -- Mem: 4x4Go 3200Mhz 15-16-16-32-2T -- Mobo: Asus X99 Deluxe -- GPU: 1080Ti (GPU: 2000Mhz, VRAM: 5900Mhz) -- Carte Son: X-Fi Titanium Fatal1ty Professional -- SSD: M.2 PCIE XP941 -- Ecran: Asus ROG Swift PG278Q
n°10139077
Crosslink
A mort les kikoos '#Premium' !
Posté le 02-05-2017 à 16:07:22  profilanswer
0Votes positifs
 

Le probleme c'est qu'on ne sait pas qui a pu deja tombe dessus depuis...

n°10139104
C_Wiz
Super Administrateur
Profil : Equipe HardWare.fr
Posté le 02-05-2017 à 16:15:02  profilanswer
7Votes positifs
 

Crosslink a écrit :

Theoriquement, ca devrait etre corrige a travers un microcode.


Non, le microcode CPU c'est autre chose.

 

AMT est un "programme" (optionnel) qui tourne sur le ME. Le ME pour rappel, c'est un processeur indépendant, ajouté par Intel dans ses chipsets, qui a la main complète sur le système par dessus tout le reste. C'est un CPU RISC ARC https://en.wikipedia.org/wiki/ARC_(processor) qui a un accès direct à tout comme les contrôleurs réseaux y compris WiFi avec accès OOB (accès invisibles pour le système), le DMA, et même la possibilité de rebooter/arrêter le système. Toute faille à ce niveau redéfini la notion de critique vu que l'on est techniquement en ring -3. Au delà d'AMT c'est tout le modèle de sécurité du ME qui pose question depuis des années. Ca n'est pas la première fois qu'Intel a des problèmes de ce type cf ici avec le Q35 attaqué par un autre côté à l'époque : http://invisiblethingslab.com/reso [...] otkits.pdf

 

Techniquement le firmware du ME est placé dans le BIOS et il est updaté par ce biais (ceux qui ont une CM Intel ont peut etre vu ces dernières années des updates de BIOS en deux temps, flash du BIOS via la carte mère, un premier reboot et un message updating ME firmware et un dernier reboot avant d'être opérationnel). Donc le fix sera distribué via BIOS pour les plateformes concernées (si les constructeurs déploient des BIOS, ce qui pour des plateformes datant de 2008 n'est pas gagné pour l'intégralité des produits potentiellement touchés). Comme c'est un bloc optionnel du ME, il n'est pas forcément fourni avec tous les BIOS. En théorie seuls les séries B et Q de chipsets ont l'AMT sur desktop, sur portable c'est beaucoup plus flou et Intel n'aide pas vraiment avec la description excessivement floue des matériels potentiellement touchés ou sa description du bug. Donc c'est au cas par cas. Apple a confirmé qu'aucun de ses produits n'a le bloc AMT dans ses firmwares ME.

Message cité 1 fois
Message édité par C_Wiz le 02-05-2017 à 16:20:20
n°10139108
Golbam
Posté le 02-05-2017 à 16:19:50  profilanswer
0Votes positifs
 

cette faille peuT permettre


---------------
Alim Seasonic platinum SS-1200XP; Asus P8Z77-m PRO; i5-3570k @ 4.2 GHz; 16 Go DDR3; 2*2To Seagate; Intel 128 go 320 series; Samsung 250go 850 evo; SLI Asus GTX670 DCUII @ 1137 MHz; Fractal Design Define R3;
n°10139121
Crosslink
A mort les kikoos '#Premium' !
Posté le 02-05-2017 à 16:30:27  profilanswer
0Votes positifs
 

C_Wiz a écrit :


Non,  [...] ses firmwares ME.


 
Devant autant de precisions, vous m'avez fait jou...  :whistle:  
 
Plus serieusement, merci pour les explications !


Message édité par Crosslink le 02-05-2017 à 16:34:06
n°10139164
LeCavalier​Noir
Posté le 02-05-2017 à 17:08:53  profilanswer
0Votes positifs
 

nono0000 a écrit :


 
La faille n'a été découverte qu'en mars dernier (par Maksim Malyutin) mais elle affecte tous les produits pros depuis 2008...
Tant que l'on ne tombe pas dessus, les failles ne sont pas connues...


 
Ah ok, je pensais que le bug était connu depuis longtemps, mais ci c'est la cas, je retire ce que j'ai dis, ils sont plutôt rapide, et c'est plaisant de voir qu'il corrige rapidement ce genre de problème.

n°10139167
d750
Posté le 02-05-2017 à 17:10:38  profilanswer
0Votes positifs
 

C_Wiz a écrit :


Non, le microcode CPU c'est autre chose.
 
AMT est un "programme" (optionnel) qui tourne sur le ME. Le ME pour rappel, c'est un processeur indépendant, ajouté par Intel dans ses chipsets, qui a la main complète sur le système par dessus tout le reste. C'est un CPU RISC ARC https://en.wikipedia.org/wiki/ARC_(processor) qui a un accès direct à tout comme les contrôleurs réseaux y compris WiFi avec accès OOB (accès invisibles pour le système), le DMA, et même la possibilité de rebooter/arrêter le système. Toute faille à ce niveau redéfini la notion de critique vu que l'on est techniquement en ring -3. Au delà d'AMT c'est tout le modèle de sécurité du ME qui pose question depuis des années. Ca n'est pas la première fois qu'Intel a des problèmes de ce type cf ici avec le Q35 attaqué par un autre côté à l'époque : http://invisiblethingslab.com/reso [...] otkits.pdf
 
Techniquement le firmware du ME est placé dans le BIOS et il est updaté par ce biais (ceux qui ont une CM Intel ont peut etre vu ces dernières années des updates de BIOS en deux temps, flash du BIOS via la carte mère, un premier reboot et un message updating ME firmware et un dernier reboot avant d'être opérationnel). Donc le fix sera distribué via BIOS pour les plateformes concernées (si les constructeurs déploient des BIOS, ce qui pour des plateformes datant de 2008 n'est pas gagné pour l'intégralité des produits potentiellement touchés). Comme c'est un bloc optionnel du ME, il n'est pas forcément fourni avec tous les BIOS. En théorie seuls les séries B et Q de chipsets ont l'AMT sur desktop, sur portable c'est beaucoup plus flou et Intel n'aide pas vraiment avec la description excessivement floue des matériels potentiellement touchés ou sa description du bug. Donc c'est au cas par cas. Apple a confirmé qu'aucun de ses produits n'a le bloc AMT dans ses firmwares ME.


Je me trompe ou l'amt peut se désactiver dans certains bios? Dans ce cas, pas de problème?

mood
Publicité
Posté le 02-05-2017 à 17:10:38  profilanswer
 

n°10139184
C_Wiz
Super Administrateur
Profil : Equipe HardWare.fr
Posté le 02-05-2017 à 17:29:37  profilanswer
1Votes positifs
 

d750 a écrit :


Je me trompe ou l'amt peut se désactiver dans certains bios? Dans ce cas, pas de problème?


Selon les cartes mères on peut désactiver AMT oui, mais pas systématique (surtout sur les portables). Mais ca ne résout pas totalement le problème.
 
Apparemment, désactiver AMT dans le BIOS permet de couper la faille distante oui (qui est catastrophiquement critique).  
 
Pour l'escalation locale par contre (qui n'est pas beaucoup moins grave vu jusqu'où elle monte) ça ne changerait rien à ce que j'ai lu pour l'instant. Désactiver AMT coupe juste le serveur web qui permet l'accès distant mais ne coupe pas tout AMT qui reste partiellement actif sur le ME.

n°10139233
nono0000
Posté le 02-05-2017 à 18:11:20  profilanswer
0Votes positifs
 

Peut-être qu'en utilisant un firmware ME 1.5Mo à la place d'un ME 5Mo (avec AMT), le block AMT ne serait pas opérationnel... mais les risques de "briquer" la CM ne sont peut-être pas négligeables aussi :P


---------------
CPU: 5960X 4.4Ghz (Uncore: 4.0Ghz) WC HM -- Mem: 4x4Go 3200Mhz 15-16-16-32-2T -- Mobo: Asus X99 Deluxe -- GPU: 1080Ti (GPU: 2000Mhz, VRAM: 5900Mhz) -- Carte Son: X-Fi Titanium Fatal1ty Professional -- SSD: M.2 PCIE XP941 -- Ecran: Asus ROG Swift PG278Q
n°10139339
benmanu
Posté le 02-05-2017 à 19:55:00  profilanswer
0Votes positifs
 

C'est moi ou la faille critique, c'est que quelqu'un d'autre que l'utilisateur peut faire ce pour quoi le programme existe?  C'est du même niveau que si tout le monde a la même clé de voiture qui ouvre toutes les voitures en fait... Et il leur faut quasi 10 piges pour se rendre compte qu'il y a un problème ?
 
Comme on dit toujours aux débutants, en informatique, le bug, il est souvent entre le clavier et la chaise...
 

n°10139393
Mysterieus​eX
Chieuse
Posté le 02-05-2017 à 20:57:28  profilanswer
0Votes positifs
 

benmanu a écrit :

C'est moi ou la faille critique, c'est que quelqu'un d'autre que l'utilisateur peut faire ce pour quoi le programme existe?  C'est du même niveau que si tout le monde a la même clé de voiture qui ouvre toutes les voitures en fait... Et il leur faut quasi 10 piges pour se rendre compte qu'il y a un problème ?
 
Comme on dit toujours aux débutants, en informatique, le bug, il est souvent entre le clavier et la chaise...
 


 
C'est de l'OOB, donc en fait tu t'en rendrais même pas compte. Et même PC "éteint".

n°10139410
MasterDav
Posté le 02-05-2017 à 21:34:51  profilanswer
0Votes positifs
 

Pour les (télé)teubés comme moi qui ne pinent rien aux pages d'Intel, quelqu'un pourrait faire une liste exhaustive des produits grand public touchés par cette faille svp ?

n°10139429
Eric B
Posté le 02-05-2017 à 22:03:58  profilanswer
0Votes positifs
 

c est pas évident de trouver si sa machine est affectée.
A priori, cela concerne surtout les appareils 'pro', ceux avec la techno vPro : https://communities.intel.com/docs/DOC-5693
https://en.wikipedia.org/wiki/Intel_vPro
il faut des chipset Q ou S pour cela.
La majorité des PC gd public récents ne seraient donc PAS concernés.

 

Par contre, les vieux laptop équipés en Core2/Centrino avec les chipsets GS/GM seraient 'vPro' capable, donc il faut s assurer que les options dans le bios sont bien désactivées!
Car évidemment, il faut pas rêver: les machines gd public qui ont 5 ans et plus n auront pas de bios update!


Message édité par Eric B le 02-05-2017 à 22:05:40
n°10139457
nono0000
Posté le 02-05-2017 à 22:52:33  profilanswer
0Votes positifs
 

Les firmwares ME sur les PC récents peuvent être mis à jour depuis Windows via une application fournie par Intel (à lancer en mode administrateur bien sûr) sans que le bios soit changé.
Pour les PC plus anciens, cela semble pareil. Par exemple, la version 6.2.60.1066 pour les Core™ I7 processor I7-640LM, Core™ I5 processor I5-520M, Core™ I3 processor I3-330M... utilise bien l'application pour être mise à jour:
http://www.station-drivers.com/ind [...] 98&lang=fr

 

Il faudra guetter si Intel rend public toutes les versions des firmwares ou non...


Message édité par nono0000 le 02-05-2017 à 23:19:16

---------------
CPU: 5960X 4.4Ghz (Uncore: 4.0Ghz) WC HM -- Mem: 4x4Go 3200Mhz 15-16-16-32-2T -- Mobo: Asus X99 Deluxe -- GPU: 1080Ti (GPU: 2000Mhz, VRAM: 5900Mhz) -- Carte Son: X-Fi Titanium Fatal1ty Professional -- SSD: M.2 PCIE XP941 -- Ecran: Asus ROG Swift PG278Q
n°10139485
raptor68
Pouet !
Posté le 03-05-2017 à 00:15:12  profilanswer
0Votes positifs
 

Le plus beau, c'est que j'ai une Intel DQ67OW (fabriquée, conditionnée et vendue sous la marque Intel) et que ces boulets, ne sortent pas de bios avec le firmware mis à jour (comment te pousser à racheter du matos puisqu'il n'y à aucun outil pour injecter des firmware dans les bios Intel)

n°10139519
valeoscoot
Posté le 03-05-2017 à 03:40:17  profilanswer
0Votes positifs
 

Crosslink a écrit :

Theoriquement, ca devrait etre corrige a travers un microcode.
 
En general ces implementations hardware pour "faciliter" le travail des Admin Sys ne servent quasiment a rien car c'est:
 
- Jamais totalement fiable
- Non perenne
- Tres contraignant a mettre en place
- Pas securise du tout
- En plus d'avoir un surcout sur le hardware qui peut aller jusqu'au double facilement (cf PC pro).
 
Pour les plus connus: Computrace (vulnerable), Intel Anti-Theft (n'existe plus), etc.
 
C'est pour cela que c'est tres rarement utilise, meme dans les grosses boites.
Bref, a ne surtout pas utiliser et a desactiver de toute urgence dans vos BIOS.
 
 
 
PS:
 
Pour rappel -vu que cette question n'a jamais ete correctement elucidee en general, surtout pendant le blocage de l'OC sur Skylake non K-, le microcode d'un CPU peut se mettre a jour:
 
- Via un update du BIOS de la carte mere qui lui va push un microcode CPU vers le CPU.
 
- Via une mise a jour totalement classique de l'OS qui embarque le microcode.
 
Pour ce qui est du blocage de l'OC sur les Skylake non-K, vous ne pouvez donc pas y echapper...
 
... A moins que vous possedez une carte mere avec un generateur de clock externe -totalement independent du BCLK- comme les ASRock de serie Hyper; notamment les F4t4l1ty.


Les Macbooks l'implémentent. Le Macbook volé de l'équipe Fillon a été récemment effacé à distance comme ça.
Il suffit d'activer le fonction chez Apple, comme pour les iPhones/iPad. Dès qu'on ouvre le Macbook, si le wifi arrive à se connecter au Web, avant même de lancer une session, on pourra soit bloquer un contenu chiffré soit effacer le Mac. On peut programmer des conditions d'activation partiel et de test réseau à des heures précises, du Macbook, sans même que le Macbook se lance. Ca vaut pour la plupart des portables haut de gamme à base d'Intel mais il faudra un serveur pour remplacer le réseau Apple qui le gère lui-même pour les Macbooks..

Message cité 1 fois
Message édité par valeoscoot le 03-05-2017 à 03:44:23
n°10139548
Crosslink
A mort les kikoos '#Premium' !
Posté le 03-05-2017 à 08:48:42  profilanswer
0Votes positifs
 

Tu as un nom pour ce systeme integre chez les macs ?
 
Parce que vu ce que tu me dis, ca ressemble plus a un systeme logiciel que materiel.
 
Le premier etant facilement contournable pour quelqu'un un minimum au courant.

n°10139562
cartemere
Posté le 03-05-2017 à 09:40:35  profilanswer
0Votes positifs
 

Crosslink a écrit :

Tu as un nom pour ce systeme integre chez les macs ?
 
Parce que vu ce que tu me dis, ca ressemble plus a un systeme logiciel que materiel.
 
Le premier etant facilement contournable pour quelqu'un un minimum au courant.


c'est software

n°10139583
marsa matr​uh
Posté le 03-05-2017 à 10:35:31  profilanswer
0Votes positifs
 

Ça m'inquiète un (mais pas trop quand même  :sleep: ) cette histoire.
 
J'ai mon serveur maison avec chipset G35 et proc Xeon E5450 qui est branché 24h/24 sur internet. Je voudrais point qu'il prenne des risques. J'ai suivi les liens chez Intel mais j'ai bien du mal à déterminer s'il est concerné. Ce qui est sûr, c'est que je n'ai rien activé du côté de l'AMT ou autre truc vPro d'Intel. Mais d'un autre côté, je n'ai rien désactivé non plus dans le BIOS. Mon serveur tournant sous une distro linux spéciale serveur, il est peu probable qu'il ait activé quelque chose à l'insu de mon plein gré.
 
Si je comprends bien le tableau en lien, le G35 ne gère pas l'AMT.

n°10139604
Multithrea​d
Regulus Noeurdus
Posté le 03-05-2017 à 11:25:51  profilanswer
0Votes positifs
 

Je traduis cette news : il s'agit tout simplement d'une backdoor pour big data.
 
Au bout d'un certain moment, on s'en rend compte, l'info circule et sa fait tâche.
 
Un coup de com pour régler le "problème" au niveau du public (rassurez-vous, il y a des redondances), circulez y'a rien à voir. :o
 
Edit pour le redface, c'est un minimum :o


Message édité par Multithread le 03-05-2017 à 11:32:30
n°10139614
ostro
et la lumière fut !
Posté le 03-05-2017 à 11:41:40  profilanswer
0Votes positifs
 

ils ne disent pas si la technologie intel AMT est désactivé dans le BIOS la faille est tout de même exploitable ?
 
Edit : Cwiz a répondu plus haut...

Message cité 1 fois
Message édité par ostro le 03-05-2017 à 11:45:23
n°10139616
C_Wiz
Super Administrateur
Profil : Equipe HardWare.fr
Posté le 03-05-2017 à 11:42:42  profilanswer
0Votes positifs
 

valeoscoot a écrit :


Il suffit d'activer le fonction chez Apple, comme pour les iPhones/iPad. Dès qu'on ouvre le Macbook, si le wifi arrive à se connecter au Web, avant même de lancer une session, on pourra soit bloquer un contenu chiffré soit effacer le Mac. On peut programmer des conditions d'activation partiel et de test réseau à des heures précises, du Macbook, sans même que le Macbook se lance. Ca vaut pour la plupart des portables haut de gamme à base d'Intel mais il faudra un serveur pour remplacer le réseau Apple qui le gère lui-même pour les Macbooks..


Juste pour qu'il n'y ait pas de confusion avec la news, Apple n'utilise pas AMT pour implémenter cette fonction, c'est leur propre système de localisation/wipe distant. https://support.apple.com/kb/PH2701?locale=fr_FR

 
ostro a écrit :

ils ne disent pas si la technologie intel AMT est désactivé dans le BIOS la faille est tout de même exploitable ?

 

Quelqu'un a cette réponse?


Cf mon message précédent, il y a deux failles, une réseau et une escalation locale. Intel ne donne pas de précision donc personne n'est certain a 100% mais :
- La faille réseau ne serait pas exploitable si désactivé dans le bios
- La faille locale serait exploitable si désactivé dans le bios (et permet en cascade d'activer AMT donc la faille du dessus)


Message édité par C_Wiz le 03-05-2017 à 11:48:59
n°10140773
xcomm
Posté le 04-05-2017 à 21:05:15  profilanswer
0Votes positifs
 

Connu pas depuis hier quand même. Je n'ai pas encore lu tous les liens, mais le document est quand même extrêmement instructif sur l’ampleur et l’envers du décor, et confirme l'analyse de HFR.
 
https://semiaccurate.com/2017/05/01 [...] platforms/
 
Et de plus, il n'y aurait pas uniquement les machines type vPRO comme indiqué par Intel qui seraient concernées.

n°10141052
nono0000
Posté le 05-05-2017 à 09:46:07  profilanswer
0Votes positifs
 

Les mises à jours arrivent progressivement sur station-drivers.
Pour le moment il n'y a de disponible que deux versions:
Intel Management Engine (ME) Firmware Version 11.0.25.3001 (S&H)(5Mo)
Intel Management Engine (ME) Firmware Version 11.6.27.3264 (S&H)(5Mo)

 

http://www.station-drivers.com/ind [...] 91&lang=fr

 

Il s'agit bien sûr de versions 5Mo (avec AMT donc).

 

ATTENTION! si vous ne savez pas si cette version est faite pour votre ordinateur alors ne faites rien !
Comme indiqué dans le tableau Intel, ce sont les deux premiers nombres qui comptent suivant la plateforme (ici 11.0.x.x et 11.6.x.x) mais également depuis Skylake le type de CPU (S&H) (généralement desktop) ou (U&Y) (généralement portable)
 
Dans l'archive, il y a l'application permettant de mettre à jour le firmware mais également une pour connaitre la version actuelle. Le nom du fichier est MEInfoWin64.exe (64bit) et MEInfoWin.exe (32bit).
Cela doit également vous renseigner sur le type de MEI. 1.5Mo (sans AMT) et 5Mo (avec AMT).


Message édité par nono0000 le 05-05-2017 à 09:54:57

---------------
CPU: 5960X 4.4Ghz (Uncore: 4.0Ghz) WC HM -- Mem: 4x4Go 3200Mhz 15-16-16-32-2T -- Mobo: Asus X99 Deluxe -- GPU: 1080Ti (GPU: 2000Mhz, VRAM: 5900Mhz) -- Carte Son: X-Fi Titanium Fatal1ty Professional -- SSD: M.2 PCIE XP941 -- Ecran: Asus ROG Swift PG278Q
n°10141540
C_Wiz
Super Administrateur
Profil : Equipe HardWare.fr
Posté le 05-05-2017 à 19:25:28  profilanswer
0Votes positifs
 

Follow up avec la faille détaillée, ca peut en aider certains : https://www.tenable.com/blog/redisc [...] nerability
 
J'avoue une certaine circonspection devant la faille... :o

n°10141572
nono0000
Posté le 05-05-2017 à 20:10:00  profilanswer
0Votes positifs
 

C_Wiz a écrit :

Follow up avec la faille détaillée, ca peut en aider certains : https://www.tenable.com/blog/redisc [...] nerability

 

J'avoue une certaine circonspection devant la faille... :o

 

En effet:
"Continuing to dig, we used a NULL/empty response hash (response="" in the HTTP Authorization header).
Authentication still worked. We had discovered a complete bypass of the authentication scheme."

 

C'est tellement gros qu'on se demande si cela a déjà été testé...
D'un autre coté, il semblerait qu'il faille quand même activer et installer un bon nombre de choses pour être impacté.
Mais pour les entreprises se servant de cette fonction, il est effectivement recommandé de mettre à jour leurs systèmes ou bloquer les ports TCP 16992 or 16993... :/


Message édité par nono0000 le 05-05-2017 à 20:10:44

---------------
CPU: 5960X 4.4Ghz (Uncore: 4.0Ghz) WC HM -- Mem: 4x4Go 3200Mhz 15-16-16-32-2T -- Mobo: Asus X99 Deluxe -- GPU: 1080Ti (GPU: 2000Mhz, VRAM: 5900Mhz) -- Carte Son: X-Fi Titanium Fatal1ty Professional -- SSD: M.2 PCIE XP941 -- Ecran: Asus ROG Swift PG278Q
n°10141724
xcomm
Posté le 06-05-2017 à 00:53:05  profilanswer
0Votes positifs
 

Petit retour d'expérience. J'ai lancé le logiciel d'identification de vulnérabilité d'Intel disponible ici :
https://downloadcenter.intel.com/download/26755
 
Résultat, machine vulnérable.
J'ai ensuite mis à jour le firmware de l'Intel Management Engine de ma machine avec la version mise à disposition par le constructeur de mon ordinateur.
 
Nouveau lancement du logiciel de détection Intel. Résultat : monté de version du ME, et résultat d'analyse passé maintenant en "Not Vulnerable"...

n°10141744
raptor68
Pouet !
Posté le 06-05-2017 à 01:40:54  profilanswer
0Votes positifs
 

ça n’empêche que bonjour la confiance, tu paye ton cpu la peau des rouleaux, ta carte mère à prix d'or, et au final on t'annonce qu'il a fallu 10 piges pour corriger une failles que d'autres avaient découvert avant eux mais qu'ils ont eu traité de parano ...

 

GG intel, content qu'amd soit à nouveau dans la course

 

sinon pour les intéressés il y'a un moyen expérimental de dégager le firmware sir sandy et ivy bridge tout en préservant le fonctionnement du matériel (à tester si vous êtes dans le cas de ceux qui n'auront pas de maj et n'êtes pas assez patient pour voir revenir le fw en standalone)
http://hackaday.com/2016/11/28/neu [...] nt-engine/

 

et lenovo devrait avoir mis à dispo des maj des firmware me pour sandy bridge et associés d'ici le 17 mai (à première vue, c'est des outils intels dont peut etre utilisable sur du matos d'autre marque)

 

ps: j'ai utilisé l'outil intel sur un Asus X200CA (celeron 1007U 4Gb de ram) et il dit non vulnérable (alors que la version du firmware ME est "unknown" ) mais le bios date de 2008 ...


Message édité par raptor68 le 06-05-2017 à 01:46:08
n°10141769
xcomm
Posté le 06-05-2017 à 09:19:55  profilanswer
0Votes positifs
 

Je ne peux que te rejoindre sur la première partie. J'avais aussi ces aspects en tête, lorsque que je me suis équipé en portable AMD en début d'année.
 
Toutes informations alternatives peuvent être utiles à connaître en cas de besoin.
 
Merci également pour le calendrier Lenovo que je dois suivre également.
 
Pour l'Asus, chacun peut se faire son propre avis final, avec toutes les informations que nous commençons à avoir.

n°10142976
B00lay Ier
Posté le 08-05-2017 à 11:57:04  profilanswer
0Votes positifs
 

Multithread a écrit :

Je traduis cette news : il s'agit tout simplement d'une backdoor pour big data.


Vu l'absence de détails, on peut légitimement se poser la question effectivement... maintenant, il n'est pas totalement impossible non plus qu'il s'agisse d'injection de code (c'est ce qu'un site douteux indique, via l'habituel "packet_length" et ici en entrée de fonction d'authentification...), donc d'un code de très bas niveau foireux, ce qui serait assez dramatique.

n°10143709
raptor68
Pouet !
Posté le 09-05-2017 à 15:43:14  profilanswer
0Votes positifs
 

Pour ceux que ça intéresse, HP à publié de nombreux correctifs et la compatibilité n'est pas limité au matériel HP (utilisé le SP80091 pour flasher ma carte mère intel sans encombre)

 

http://www8.hp.com/us/en/intelmanageabilityissue.html

 

pour les fainéants:

 

Sandy Bridge: ftp://ftp.hp.com/pub/softpaq/sp80 [...] p80091.exe
Ivy Bridge: ftp://ftp.hp.com/pub/softpaq/sp80 [...] p80090.exe
Haswell ME Ver 9.1: ftp://ftp.hp.com/pub/softpaq/sp80 [...] p80050.exe
Hasswell ME Ver 9.5: ftp://ftp.hp.com/pub/softpaq/sp80 [...] p80145.exe (pas encore en ligne)

 

Voilà pour le vieux matos en espérant que ça vous serve à vous ou a vos entreprises si des éléments de votre parc sont vulnérables (ça serait con d'attendre une a deux semaines qu'intel publie officiellement sur son site alors que le correctif est prêt depuis avril (voir MEAnalyzer sur les fichiers concernés)

 

De mes tests avant maj, la faille AMT n'est pas accessible par wifi si vous n'avez pas expressément autorisé AMT sur le wifi et installé les services sous windows (pour les particuliers un peu flippé)

 

Par contre, on va me traiter de théoricien du complot, mais la faille à été révélée en Mars à intel corrigée le 7 avril et seulement publiée début mai, je trouve ça douteux, surtout quand on considère que le monde de l'opensource à toujours émis des doutes sur les failles que peuvent représenter le ME. En tout cas, dernière fois que je prends un chipset Q et B, même avec la faille corrigée, le manque d'information et la "réactivité sans faille" d'intel va me faire fuire pour mes futures acquisitions en millieu professionnel

 

Pour les utilisateurs de Q67, les bios des cartes mères Q67 n’intègre pas de moyen de désactiver AMT ou le FW ME en entier, donc si vous utilisez vos pc en éthernet sans blocage des ports liés à AMT sur votre routeur, faites impérativement la màj


Message édité par raptor68 le 09-05-2017 à 15:50:54
n°10145804
nono0000
Posté le 12-05-2017 à 07:30:49  profilanswer
0Votes positifs
 

La page de win-raid concernant l'AMT est mise à jour régulièrement avec toutes les dernières versions trouvées :
http://www.win-raid.com/t596f39-In [...] Tools.html

 

Les firmwares et les outils pour le mettre à jour ou lire les informations de l'actuel sont dans deux archives distinctes.

 

Comme précédemment, ne mettez pas à jour votre système si vous n'êtes absolument certain de ce que vous faites...

 

Édit: même les vieux systèmes en 6.2 ont leur mise à jour...


Message édité par nono0000 le 12-05-2017 à 21:20:12

---------------
CPU: 5960X 4.4Ghz (Uncore: 4.0Ghz) WC HM -- Mem: 4x4Go 3200Mhz 15-16-16-32-2T -- Mobo: Asus X99 Deluxe -- GPU: 1080Ti (GPU: 2000Mhz, VRAM: 5900Mhz) -- Carte Son: X-Fi Titanium Fatal1ty Professional -- SSD: M.2 PCIE XP941 -- Ecran: Asus ROG Swift PG278Q
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Hardware
  HFR

  [HFR] Actu : Faille critique dans l'Intel AMT

 

Sujets relatifs
[HFR] Dossier : Les Radeon RX 580 et RX 570 d'Asus, MSI et Sapphire en test : Po[HFR] Actu : Intel conserve le montage LGA 2011 sur le LGA 2066
[HFR] Actu : Le Data Center en question dans les résultats d'Intel[HFR] Actu : Xeon Platinum pour accompagner les Xeon Gold
[HFR] Actu : Pilotes Radeon 17.4.4 pour Warhammer 40000 
Plus de sujets relatifs à : [HFR] Actu : Faille critique dans l'Intel AMT



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR