英特爾AMT功能遠程提權高危漏洞分析

本周早些時候，英特爾發布了一個高危提權漏洞，影響的範圍包括過去7年英特爾伺服器晶元的遠程管理功能。遠程攻擊者可以利用漏洞控制存在PC、筆記本電腦和伺服器。

這款漏洞編號為CVE-2017-5689，能夠影響到英特爾遠程管理技術，包括Active Management Technology (AMT), Intel Standard Manageability(ISM)和Intel Small Business Technology (SBT)軟體，版本號由6開始到11.6。如果你在電腦上看到過這些標誌，那麼你很有可能中招了。

漏洞最先由Embedi 研究團隊的MaksimMalyutin在二月中旬發現，發現後他立即

提交給了英特爾安全團隊。

現在大部分系統管理員已經通過補丁更新了系統，Embedi決定披露更多細節。

黑客能夠通過發送空的驗證字元串來劫持使用英特爾晶元的電腦，在了解其中的原理之前我們得先回答下面幾個問題：

什麼是Intel AMT？

Intel AMT漏洞出現在哪裡？

黑客怎樣利用這個漏洞？

什麼是Intel AMT?

英特爾的晶元嵌入了Intel Active Management Technology(AMT)技術，這項技術能讓IT管理人員遠程管理和修復PC、工作站和伺服器。

這項預設的功能使用基於Web的控制頁面，通過遠程埠16992和16993讓管理員遠程管理系統。

Intel AMT Web界面甚至可以在系統關機時運作，因為它集成在晶元中，所以可以獨立於操作系統運作，只要機器連接了電源和網線。

Intel AMT
漏洞出現在哪裡？

為了防止功能被未授權的用戶濫用，AMT服務會使用HTTP摘要認證和Kerberos驗證機制。

許可權提升漏洞就出現在Intel AMT Web界面通過HTTP摘要認證協議認證用戶的環節，這是個基於挑戰/應答(Challenge/Response)方式的身份認證系統。

在解釋漏洞之前我們先了解一下摘要認證的原理，摘要認證包含以下這些步驟：

用戶先發起一個沒有認證證書的登陸請求，作為響應，伺服器回復一個隨機數（稱作」nonce「）、HTTP方法以及請求的URI。

接下來用戶就會被提示輸入用戶名和密碼。

輸入後，客戶端就會發送一個加密的字元串(user_response)，字元串是使用一個單向的加密函數生成的一個消息摘要（message digest），該摘要由用戶名、密碼、給定的nonce值、HTTP方法，以及所請求的URI生成。

而伺服器端也會通過資料庫中的用戶名密碼計算一個類似的加密字元串(computed_response)。

伺服器使用strncmp()函數對兩個字元串進行比較，如果二者相符就會讓用戶登陸Intel AMT Web界面。

而Intel AMT漏洞

正是出現在strncmp()函數中。

語法：

strncmp (string_1, string_2 , length)

其中length參數定義了多少個字元會被比較

Strncmp()是一個二進位安全字元串比較函數，所謂二進位安全就是指在一個二進位文件上所執行的不更改文件內容的功能或者操作，其本質上將操作輸入作為原始的、無任何特殊格式意義的數據流。函數的返回值包括負整數，0和正整數，取決於string_1是否比string_2大，如果二者相等，則返回0。

存在問題的代碼：

if(strncmp(computed_response, user_response, response_length))
exit(0x99);

很

明顯，要認證成功，變數user_response的值必須等於computed_response，因此無論長度如何，strncmp()函數的返回值必須為0。

但是寫這段代碼的程序員錯誤地吧user_response的長度放到了strncmp()函數中，而非computed_response。

黑客如何利用？

要想利用漏洞，未經授權的用戶只需要發送空的user_response值。

由於strncmp()錯誤地用user_response變數來認證用戶，因此，發送null值就會讓比較很熟認為user_response與computed_response相等，從而通過驗證。

攻擊示例：

漏洞危害

攻擊者還可以使用Keyboard Video Mouse (KVM)功能，這個功能內置在Intel AMT Web控制平台中，KVM能夠讓系統管理員遠程控制系統，能夠執行的操作包括：

「[攻擊者]可以遠程載入執行任意程序，讀寫文件（使用常規的文件管理器）」 ，研究人員在

中寫道，「使用IDE-R (IDERedirection)，黑客還可以遠程更改啟動設備，比如吧其他虛擬鏡像作為啟動設備。」

「使用SOL (Serial over LAN), [攻擊者]能夠遠程開關機/重啟/重置系統，還可以對BIOS選項進行編輯。」

也就是說，黑客可以做任何事情，可以登陸機器、執行惡意活動，包括修改系統和安裝那些無法檢測的惡意軟體。

升級固件修復系統

漏洞影響的英特爾管理固件版本包括6.x, 7.x, 8.x 9.x, 10.x, 11.0,11.5和11.6，不過在6以前和11.6以後的版本則不受影響。

英特爾已經將漏洞評級為高危，並且發布了

。於此同時，英特爾還發布了一些指導文件，

用於檢測工作站是否運行了AMT, ISM或SBT，

用於檢測系統是否存在漏洞，還有針對不能立即升級的企業的

。

研究員Bart Blaze在GitHub上也發布了一款簡單的

，基

於英特爾的指導文件製作。

受影響的用戶只需要下載運行其中的DisableAMT.exe，這個文件會關閉Windows操作系統（x86和x64系統）中的AMT功能。

*參考來源：THN & Embedi，本文作者：Sphinx，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！