英特尔AMT漏洞如何允许远程入侵计算机

该漏洞被标记为CVE-2017-5689，影响英特尔远程管理技术，包括主动管理技术（AMT）、英特尔标准可管理性（ISM）和英特尔小型企业技术（SBT）软件，版本6至11.6。

该漏洞最初是由Embedi研究团队的成员马克西姆·马尔尤丁在2月中旬发现的，他随后负责地向英特尔安全团队披露了该漏洞。

我在本周早些时候发表的上一篇文章基于Maksim向《黑客新闻》分享的部分信息，由于报道的Intel AMT漏洞非常关键，可以远程利用，Embedai保留了技术细节，直到大多数系统管理员使用补丁固件更新其系统。

今天，Embedi研究团队披露了有关该关键漏洞的完整技术细节，揭示了远程攻击者只需发送一个空的身份验证字符串，就可以劫持由英特尔芯片组驱动的计算机。

为了理解这一点，我编写了这篇文章，解释：

• 什么是英特尔AMT技术？
• 英特尔AMT漏洞位于何处？
• 攻击者如何利用Intel AMT漏洞进行攻击？

什么是英特尔AMT技术？

基于英特尔的芯片组附带了一种称为“英特尔主动管理技术”（AMT）的嵌入式技术，以增强IT管理员的能力，使他们能够远程管理和修复公司的PC、工作站和服务器。

通过使用预先安装在芯片组上的基于网络的控制面板（可从端口16992和16993访问），管理员可以远程管理系统。

英特尔AMT网络接口即使在系统关闭时也能工作，只要平台连接到线路电源和网线，因为它独立于操作系统运行。

英特尔AMT漏洞位于何处？

为了防止未经授权的用户使用“英特尔AMT”Web界面，该服务使用HTTP摘要和Kerberos身份验证。

特权漏洞的升级存在于Intel AMT Web界面通过HTTP摘要协议处理用户身份验证的方式中，该协议基于简单的质询-响应范例。

在深入了解利用此漏洞的技术细节之前，首先，您需要知道摘要身份验证的工作原理。

摘要身份验证通过以下步骤完成：

• 客户端请求服务器启动登录，作为响应，服务器返回随机生成的“nonce”值、HTTP方法和请求的URI。
• 接下来，系统会提示用户输入用户名和密码。
• 输入后，客户机将发送一个加密字符串（称为用户响应)—通过对输入的用户名和密码、服务器提供的nonce值、HTTP方法和请求的URI—应用哈希函数生成；到服务器。
• 服务器还计算一个类似的加密字符串（称为计算响应)使用存储在数据库中的用户名和密码以及所有其他三个值。
• 服务器使用strncmp（）函数如果匹配，则允许用户登录英特尔AMT网络界面。

“英特尔AMT”漏洞正好存在于服务器用来比较两个加密字符串的strncmp（）函数中。

语法示例：
strncmp（字符串1、字符串2、长度）
—其中，长度参数定义需要比较的字符数。

Strncmp（）是一个二进制安全字符串比较函数，根据字符串_1大于还是小于字符串_2，返回负、零或正整数，如果它们相等，则返回零。


很明显，为了成功地进行身份验证，user_响应变量必须等于computed_响应变量；因此，strncmp（）函数必须为任何长度返回一个零值。

但是，根据研究人员的说法，为英特尔平台编写此身份验证过程的程序员错误地使用了strncmp（）函数中用户_响应变量的长度，而不是响应长度参数

攻击者如何利用Intel AMT漏洞进行攻击？（演示）

（我们敬爱的读者和独立安全研究人员Dhanunjaya.V&；Jithin D Kurup提交了上述英特尔AMT漏洞的视频演示，他们之前曾报告过IP摄像头、账单板、银行和支付网关以及许多印度政府网站存在严重漏洞。）

要利用Intel AMT Web界面中的这一逻辑缺陷，未经授权的攻击者只需不向服务器的用户_响应发送任何内容（null）。

由于strncmp（）函数错误地使用user_响应变量的字符长度来授权用户（在本例中为null），字符串比较函数将被欺骗为不匹配，并认为攻击者的响应（user_响应）等于计算的_响应。

当两个变量匹配时，攻击者将通过身份验证登录到Intel AMT Web界面，并执行授权管理员可以执行的任何操作，从而获得系统的高级权限。

计算机即使关闭也可能被黑客入侵

攻击者还可以使用Intel AMT Web Panel内部的键盘视频鼠标（KVM）功能，该功能在硬件级别运行，允许系统管理员远程控制整个系统，并执行以下任务：

研究团队在论文[PDF]中写道：“攻击者可以远程加载、执行目标系统中的任何程序，读取/写入任何文件（使用通用文件浏览器）。”。“使用IDE-R（IDE重定向），[攻击者]可以远程将引导设备更改为其他虚拟映像，例如。”

该团队补充说：“使用SOL（LAN串行），攻击者可以远程打开/关闭/重新启动/重置电源，并使用此功能执行其他操作。此外，它还可以用于访问BIOS设置进行编辑。”。

简而言之，潜在的攻击者可以做系统管理员所能做的一切：他可以登录到易受攻击的机器硬件，悄悄地执行恶意活动，比如篡改系统和安装几乎无法检测的恶意软件。

立即安装固件更新以修补漏洞！

该漏洞会影响英特尔易管理性固件版本6。x、 七,。x、 八,。x9。x、 十,。x、 11.0、11.5和11.6，用于英特尔的AMT、ISM和SBT平台。但是，6之前或11.6之后的版本不受影响。

英特尔已将该漏洞评定为高度严重漏洞，并发布了新的固件版本、用于检测任何工作站是否运行AMT、ISM或SBT的说明、用于检查系统是否存在漏洞的检测指南，以及针对无法立即安装更新的组织的缓解指南。

因此，强烈建议英特尔客户在不浪费一秒钟的情况下安装固件补丁。

此外，Github上还有一个简单的缓解工具，由恶意软件研究人员Bart Blaze根据Intel提供的缓解指南创建。

受影响的用户只需下载并运行DisableAMT即可。exe，它将在Windows操作系统（x86和x64）上禁用英特尔AMT。