Intel publie des correctifs pour les nouvelles vulnérabilités du micrologiciel ME

Début juillet, Intel a publié deux avis de sécurité ( SA-00112 et SA-00118 ), qui décrivaient les correctifs du micrologiciel Intel Management Engine. Les deux bulletins de sécurité décrivent des bogues qui permettent à un attaquant d'exécuter du code arbitraire sur le processeur PCH interne (Minute IA).

Ces erreurs sont similaires à celles que les experts en sécurité de Positive Technologies ont découvert en novembre dernier ( SA-00086 ). Cependant, l'histoire ne s'arrête pas là, et maintenant Intel a publié de nouveaux correctifs de vulnérabilité dans ME.

Qu'est-il arrivé?

CVE-2018-3627, décrit dans SA-00118, est marqué dans le bulletin comme une erreur logique (ce n'est pas un débordement de tampon), ce qui conduit à l'exécution de code arbitraire. Pour son fonctionnement, l'attaquant a besoin d'un accès local, tandis que la vulnérabilité mentionnée dans SA-00086 ne peut être exploitée localement qu'en cas d'erreur de configuration système faite par l'OEM. Cette condition rend la vulnérabilité plus dangereuse.

Dans le cas de CVE-2018-3628 (décrit dans SA-00112), les choses sont encore pires. Une vulnérabilité dans le processus AMT du micrologiciel du moteur de gestion conduit à l'exécution de code à distance et l'attaquant n'a pas besoin d'avoir un compte administrateur AMT, comme lors de l'utilisation de CVE-2017-5712 à partir de SA-00086.

Intel décrit cette erreur comme «Buffer Overflow in HTTP Handler», ce qui suggère la possibilité d'exécuter du code à distance sans autorisation. Il s'agit du pire scénario que tous les utilisateurs de la plate-forme Intel craignent. Cette erreur est similaire à la célèbre CVE-2017-5689 , trouvée en mai 2017 par Embedi, mais avec des conséquences beaucoup plus graves.

Et ensuite

Au moins un peu pour atténuer la situation peut être le fait que pour CVE-2018-3628 Intel signale la possibilité de fonctionner uniquement à partir du sous-réseau local.

Les spécialistes de Positive Technologies prévoient de mener une étude plus détaillée de ces erreurs à l'avenir. Il est à noter qu'Intel a indiqué les mêmes versions de firmware que pour SA-00086 avec des recommandations pour corriger les vulnérabilités. Il est possible que ces erreurs aient été trouvées dans le processus d'examen de la sécurité du code Intel ME dans le cadre de SA-00086, mais Intel a décidé de les publier plus tard pour atténuer l'effet négatif du nombre d'erreurs critiques dans SA-00086.

Autres technologies de sécurité Intel ME positives :

• Comment pirater un ordinateur à l'arrêt ou exécuter du code dans Intel ME
• Intel a corrigé une vulnérabilité dans le sous-système Management Engine trouvée par les experts de Positive Technologies
• Une vulnérabilité dans Intel ME pourrait exécuter du code non signé
• Désactivez Intel ME 11 en utilisant le mode non documenté
• Lutte contre la télécommande: comment désactiver Intel ME