A falha crítica da tecnologia de gerenciamento ativo da Intel permite escala de privilégios
A vulnerabilidade crítica da Intel pode permitir que invasores não autenticados obtenham privilégios escalonados em sistemas corporativos Intel vPro.
A Intel corrigiu uma vulnerabilidade crítica de escalonamento de privilégios em sua Active Management Technology (AMT), que é usada para gerenciamento remoto fora de banda de PCs.
AMT faz parte da plataforma Intel vPro (termo de marketing abrangente da Intel para sua coleção de tecnologias de hardware de computador) e é usado principalmente por lojas de TI corporativas para gerenciamento remoto de sistemas corporativos. A falha pode ser explorada por um invasor não autenticado na mesma rede, a fim de obter privilégios escalados. O problema ( CVE-2020-8758 ), encontrado internamente por funcionários da Intel, classifica-se em 9,8 de 10 na escala CVSS, tornando-a gravidade crítica, de acordo com a Intel em um comunicado de segurança na terça – feira.
“Embora não estejamos cientes do problema AMT sendo usado em ataques ativos, a Intel forneceu orientação de detecção para vários fornecedores de segurança que lançaram assinaturas em seus produtos de detecção / prevenção de intrusão como uma medida extra para ajudar a proteger os clientes enquanto planejam a implantação de esta atualização ”, disse Jerry Bryant, diretor de comunicações da Intel Product Assurance and Security, em um comunicado de segurança publicado na terça-feira.
A falha decorre de restrições de buffer inadequadas em um subsistema de rede de componentes de terceiros dentro da Intel AMT (e a solução de gerenciamento padrão da Intel, ISM, que tem uma função semelhante à AMT).
Um fator importante que impacta a dificuldade de explorar a falha é se o AMT é ou não “provisionado”. Para usar o AMT, os sistemas devem passar por um processo denominado “provisionamento”. Este processo é usado para conectar o computador a um computador remoto usado para gerenciá-lo (por exemplo, inserir uma unidade USB formatada especialmente).
Se o AMT for provisionado, ele pode permitir que um usuário não autenticado habilite potencialmente o escalonamento de privilégios por meio do acesso à rede. No entanto, um invasor precisa ser autenticado e ter acesso local para explorar a falha se o sistema AMT não for provisionado (se o sistema não for provisionado, a falha também terá uma pontuação CVSS inferior de 7,8 em 10).
“Se a plataforma estiver configurada para usar Acesso Remoto Iniciado pelo Cliente (CIRA) e a detecção de ambiente estiver configurada para indicar que a plataforma está sempre fora da rede corporativa, o sistema está no modo somente CIRA e não está exposto ao vetor de rede,” disse Bryant.
Os afetados são as versões Intel AMT e Intel ISM anteriores a 11.8.79, 11.12.79, 11.22.79, 12.0.68 e 14.0.39.
“A Intel recomenda que os usuários do Intel AMT e Intel ISM atualizem para a versão mais recente fornecida pelo fabricante do sistema que resolve esses problemas”, de acordo com o conselho da Intel.
A Intel AMT já teve problemas de segurança antes. No início de junho , a Intel corrigiu duas falhas críticas ( CVE-2020-0594 e CVE-2020-0595 ) existentes no subsistema IPv6 do AMT. As falhas podem permitir que um usuário não autenticado obtenha privilégios elevados por meio do acesso à rede. E, uma brecha em 2018 encontrada no AMT foi descoberta que poderia ter permitido a um invasor contornar logins e colocar backdoors em laptops, permitindo que adversários acessassem remotamente os laptops.
