» »

Nekaj je gnilega v deželi x86

1 2
3
»

AndrejO ::

mtosev je izjavil:

kolk razumem ko gledajo oz ko slučajno ugotovijo, da pač nisi terorist ne gledajo več. ne verjamem, da de facto za vsemi vohunijo. če pa pa prosim za link.

Glede na to, da se je v zadnjem času več ljudi "nenadoma radikaliziralo", njihovi starši, znanci in prijatelji pa o tem sploh niso ničesar vedeli, je to precej naivno razmišljanje. Še posebej so nevarne osebe, ki navzven ne kažejo nikakršnih znakov radikalizacije ali podobnih teženj, ker gre lahko za zelo dobro prikrite speče celice. Na te je potrebno biti še posebej pozoren.

Dejansko je manj težav z že znanimi kriminalci, ker je za te potrebno vedeti zgolj to, kjer se jih najde, če pride do kakšnega kaznivega dejanja. Ostalo niti več ni tako zelo zanimivo. Pri teh zato zadošča že zgolj sledenje lokacije.

aerie ::

Tole dobim:
2017-05-03 22:16:01:(INFO) : ACU Configurator , Category: HandleOutPut: Starting log 2017-05-03 22:16:01
2017-05-03 22:16:01:(INFO) : SCSDiscovery, Category: -SystemDiscovery-: SATURN-PC: Discovering the System information...
2017-05-03 22:17:46:(ERROR) : ACU Configurator , Category: Error message: Failed to connect to the Intel(R) Management Engine Interface PTHI client. (0xc000001c)
2017-05-03 22:18:03:(ERROR) : SATURN-PC, Category: AMT Interface error: Failed while calling  Soap call  GetCoreVersion. Intel(R) AMT connection error  0xc000521c: A TCP error occurred. Make sure that the destination settings are correct and that a network connection exists to the target. , error in discover 0xc000521c
2017-05-03 22:18:20:(ERROR) : SATURN-PC, Category: AMT Interface error: Failed while calling  Soap call  GetCoreVersion. Intel(R) AMT connection error  0xc000521c: A TCP error occurred. Make sure that the destination settings are correct and that a network connection exists to the target. , error in discover 0xc000521c
2017-05-03 22:18:22:(WARN) : SCSDiscovery.exe, Category: System Discovery: System Discovery finished with warnings: System Discovery failed to get data from some of the interfaces on this system.  (0xc00027ff). Failed to get data from the MEI interface.   (0xc000283d). Failed to connect to the Intel(R) Management Engine Interface PTHI client.  (0xc000001c). This system does not have Intel(R) AMT (or it is disabled in the Intel MEBX, or the correct drivers are not installed or enabled, or the current user does not have permissions to the drivers).  (0xc0000063). Failed to read the registry value (Primary DNS suffix).  (0xc0001f52). Failed to get data from the Intel(R) AMT WSMAN Discovery interface.   (0xc0002841). Initial connection to the Intel(R) AMT device failed.   (0xc00007d2). A TCP error occurred. Make sure that the destination settings are correct and that a network connection exists to the target.  (0xc000521c). Failed to get data from the GetDNSLookupName interface.   (0xc0002842). Failed to get the FQDN.   (0xc0002823). Call to function failed.  No DNS servers configured for local system. (0xc0000018). 
2017-05-03 22:18:22:(INFO) : SCSDiscovery, Category: Exit: ***********Exit with code 32 - Intel(R) AMT operation completed with warnings: Details: Success. System Discovery finished with warnings: System Discovery failed to get data from some of the interfaces on this system.  (0xc00027ff). Failed to get data from the MEI interface.   (0xc000283d). Failed to connect to the Intel(R) Management Engine Interface PTHI client.  (0xc000001c). This system does not have Intel(R) AMT (or it is disabled in the Intel MEBX, or the correct drivers are not installed or enabled, or the current user does not have permissions to the drivers).  (0xc0000063). Failed to read the registry value (Primary DNS suffix).  (0xc0001f52). Failed to get data from the Intel(R) AMT WSMAN Discovery interface.   (0xc0002841). Initial connection to the Intel(R) AMT device failed.   (0xc00007d2). A TCP error occurred. Make sure that the destination settings are correct and that a network connection exists to the target.  (0xc000521c). Failed to get data from the GetDNSLookupName interface.   (0xc0002842). Failed to get the FQDN.   (0xc0002823). Call to function failed.  No DNS servers configured for local system. (0xc0000018).

Kaj zdaj to pomeni? Da le moj account nima dostopa do te zadeve, ONI pa imajo al kako?

darkolord ::

Kako si prišel do tega zaključka?

fujtajksel ::

Btw, a se najde junak od sistemca, ki ME/vPro dejansko uporablja za kakšen pameten namen?
Ko se je pojavil zadnji update in sem bral, kaj **** naj bi to sploh bilo, sem dobil vtis, da je to itak namenjeno zlasti NSA pa mogoče še kakšnim paranoidnim vojaškim ali korporativnim control freakom.

aerie ::

darkolord je izjavil:

Kako si prišel do tega zaključka?

This system does not have Intel(R) AMT (or it is disabled in the Intel MEBX, or the correct drivers are not installed or enabled, or the current user does not have permissions to the drivers).

darkolord ::

fujtajksel je izjavil:

Btw, a se najde junak od sistemca, ki ME/vPro dejansko uporablja za kakšen pameten namen?
Jaz uporabljam, kot hardverski remote (varjanta IPMI/ILO/DRAC/RSA/...).

Na PC se lahko povežem in ga upravljam ne glede na to, ali je prižgan, ugasnjen, ali se zboota, ali je sploh OS nameščen.

Žal mi je edino, da ima to samo manjši del računalnikov.

McMallar ::

Jaz sem se tudi s tem ukvarjal na ravni firme nekaj let nazaj ampak sem menjal pozicijo preden je to slo v uporabo. Namen uporabe je bil skozi MS SCCM za podobne primere kot je omenil darkolord pred mano - helpdesku ni potrebno teci na lokacijo v primeru blue screen-a oz. v kakrsni koli situaciji, ko ostala remote orodja odpadejo.

V mojem primeru sem v vPro bazo na posameznem racunalniku moral dodati nas certifikat, ki je moral imeti dodan ta identifier 2.16.840.1.113741.1.2.3. Spomnim se, da je Dell-ovo orodje imelo opcijo tudi brisanja certifikatov iz baze - mogoce bi to imelo kaksen efekt za preprecevanje komunikacije.

Sem pa zasledil zanimivo (seveda nepreverljivo) informacijo - baje da naj bi ME/vPro/... deloval samo na onboard mrezni in da je enostaven wokaround uporaba enostavne PCI(e) mrezne kartice za par evrov.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Zgodovina sprememb…

  • spremenil: McMallar ()

fujtajksel ::

McMallar je izjavil:


Sem pa zasledil zanimivo (seveda nepreverljivo) informacijo - baje da naj bi ME/vPro/... deloval samo na onboard mrezni in da je enostaven wokaround uporaba enostavne PCI(e) mrezne kartice za par evrov.


Sej wifi ni onboard, so običajno majhne m.2 kartice.
Intlove wifi/bt kartice (npr 8260), ki jih tipično dajejo dajejo v Precision, Latitude itd naj bi podpirale vPro. DW1830/1820 in podobno za domače računalnike pa najbrž ne.

jype ::

Še poljudna razlaga za vse tiste, ki potrebujejo pomoč pri razumevanju globine problema:

https://arstechnica.com/security/2017/0...

konspirator ::

--

darkolord ::

jype je izjavil:

Še poljudna razlaga za vse tiste, ki potrebujejo pomoč pri razumevanju globine problema:

https://arstechnica.com/security/2017/0...
Kako pa je to dvoje povezano? Problem, ki ga izpostavlja ta članek, je predvsem to, da AMT-ja ne smeš imeti exposanih zunanjemu svetu.

Ampak to velja tudi za vse druge management zadeve.

jype ::

darkolord> AMT-ja ne smeš imeti exposanih zunanjemu svetu.

Predvsem zato, ker ne moreš zaupati kodi, ki jo v tvojem imenu in na tvoji strojni opremi poganja nekdo drug.

jukoz ::

Kakšen nasvet kako testirati za tole če nimaš WIN sistema?

Matthai ::

To sem tudi jaz spraševal, pa ni bilo odgovora. Očitno bo treba liveWin naložit...
All those moments will be lost in time, like tears in rain...
Time to die.

jukoz ::

Mah, saj kot kaže ni treba pretirano testirati.
V *BSD sistemih:
# dmesg | grep MEI

oz

dmesg | grep HECI

Na linuxu pa:
#lspci | grep MEI

Jaz dobim npr tole:
00:16.0 Communication controller: Intel Corporation 6 Series/C200 Series Chipset Family MEI Controller #1 (rev 04)

Naj bi pa AMT delal samo z intel integrirano mrežno. Če imaš desktop mašino preprosto dodaš še eno mrežno pa je. Laptop je bolj problematičen. Mi je pa sedaj jasno zakaj v prenosnikih ni mogoče menjati wifi kartice in začne BIOS jokat - AMT dela tudi preko wifi.

konspirator ::

jukoz
Samo s tem ne dobiš verzije amt.

Z live win ne vem če bo šlo,
1. Intel-SA-00075_1.0.1.6 - takoj napiše, če je sistem ranljiv ali ne.
2. Intel_SCS_Discovery_11.1.0.75 -- dobiš samo xml.

1. uradno zahteva "net runtime 3.5", čeprav v samem exe najdem zapis ".NET Framework 4.5.2"
https://downloadmirror.intel.com/26755/...
stran 2

2. mislim da ne, oep (original entry point) izgleda kot ms visual c++.


1. https://downloadcenter.intel.com/downlo...
2. https://downloadcenter.intel.com/downlo...
--

Zgodovina sprememb…

jukoz ::

Jaz bi rad ta jajca trajno izklopil, nima veze katero verzijo imam. Nimam flote 10k mašin za nadzorovat. To sranje je pa vedno vklopljeno, tudi če ga v BIOSu izklopim.

jype ::

jukoz> Jaz bi rad ta jajca trajno izklopil, nima veze katero verzijo imam.

Za kaj takega dejansko potrebuješ zelo natančno bormašino. Drugače ne bo šlo.

No, trenutno še gre: http://hackaday.com/2016/11/28/neutrali... (ampak to je zaradi napake, ki jo bodo prej ali slej odpravili).

zbrisan ::

@jukoz

Na linux-u dobim tole

00:16.0 Communication controller: Intel Corporation Wildcat Point-LP MEI Controller #1 (rev 03)

Kaj naj bi to pomenilo?

darkolord ::

Nič pametnega.

Mi je pa sedaj jasno zakaj v prenosnikih ni mogoče menjati wifi kartice in začne BIOS jokat - AMT dela tudi preko wifi.
AMT nima veze pri tem.

jukoz ::

darkolord je izjavil:

Nič pametnega.

Mi je pa sedaj jasno zakaj v prenosnikih ni mogoče menjati wifi kartice in začne BIOS jokat - AMT dela tudi preko wifi.
AMT nima veze pri tem.


Thank you for your valuable input.

darkolord ::

BIOS whitelisting je obstajal že davno preden je AMT podpiral wifi, poleg tega so bile na whitelistih tudi ne-Intel kartice, ki AMT-ja niso podpirale.

jukoz ::

zbrisan je izjavil:

@jukoz

Na linux-u dobim tole

00:16.0 Communication controller: Intel Corporation Wildcat Point-LP MEI Controller #1 (rev 03)

Kaj naj bi to pomenilo?


MEI je Intel Management Engine Interface

Če najdeš to v lspci/dmesg potem imaš živ AMT. Jaz na ga Core2Duo mašinah recimo ne najdem, kljub temu da ima proc AMT podporo. Na Core i mašinah je pa na vseh.
Je pa zanimivo, da na starem TP L412 AMT (vsaj komprimiran) ni prisoten, kljub i5 procu (prva generacija). Je pa prisotna Realtek mrežna in ne intelova.

Tule je dosegljiv python tool za iskanje luknje:
https://github.com/CerberusSecurity/CVE...

Išče specifičen string "Server: Intel\(R\) Active Management Technology" in pri meni ne najde nobene ranljive mašine, kar je mal čudno, glede na to da mi ga Intelov tool najde. Res pa je da išče specifično verzijo firmwara.

Kakorkoli, če se povežete na Intel mašino (ali mrežno?) preko UDP na port 623, vam bo uspelo, kljub izklopljenemu AMT.

Zanimivo je tudi to, da če na prenosniku izklopim AMT v BIOSu, potem mi intel tool ne zna povedati ali je mašina ranljiva. Če je vklopljen in je MEBx izključen (oz dostopi) ugotovi da je ranljiv.

Kaj pa vem...

darkolord je izjavil:

BIOS whitelisting je obstajal že davno preden je AMT podpiral wifi, poleg tega so bile na whitelistih tudi ne-Intel kartice, ki AMT-ja niso podpirale.


Zdej pa zares: Thank you for your valuable input. =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

jukoz ::

Aja, še to.

Na gen 3 in gen 4 i3 mašinah je MEI prisoten, vendar v BIOSu ne najdem nikakršne omembe AMTja. Naj bi pa plate to podpirale.
Priklop preko UDP na port 623 ne vrne nič.

Je pa na plati realtek mrežna.

McMallar ::

Imam Haswell i5 z Intel mrezno na plati. Portquery mi pravi, da UDP port 623 ne poslusa, prav tako mi Intel-ova aplikacija pravi, da nisem ranljiv. Se pravi, da lahko sklepam, da sem OK?
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

jukoz ::

Iz lastne mašine se meni tudi ne uspe povezati, iz zunanje pa.

En update
Dosegam mešane rezultate. Na i5 (gen4) mašini se mi z realtekovo mrežno javi port 623.
Na večini i3 (gen 2, 3, 4) se mi ne javi, na eni i3 gen4 pa... Vse z realtekovo mrežno, plate pa različnih proizvajalcev.

Matthai ::

git clone https://github.com/CerberusSecurity/CVE-2017-5689

Cloning into 'CVE-2017-5689'...
remote: Counting objects: 10, done.
remote: Compressing objects: 100% (7/7), done.
remote: Total 10 (delta 1), reused 10 (delta 1), pack-reused 0
Unpacking objects: 100% (10/10), done.
Checking connectivity... done.

cd CVE-2017-5689

python CVE-2017-5689_detector.py 192.168.xxx.xx
[+] checking 192.168.xxx.xx:16992
[+] checking 192.168.xxx.xx:16993
[+] checking 192.168.xxx.xx:16994
[+] checking 192.168.xxx.xx:16995
[+] checking 192.168.xxx.xx:623
[+] checking 192.168.xxx.xx:664

Vulnerable targets:



Kao vse OK?
All those moments will be lost in time, like tears in rain...
Time to die.

jukoz ::

Porbi z nc-jem:

# nc -vu 192.168.xxx.xxx 623

Jaz dobim tole:

Connection to 192.168.xxx.xxx 623 port [udp/asf-rmcp] succeeded!

Torej nekaj posluša na UDP na portu 623. Predlagam da poizkusiš še z ostalimi porti

Tisti tool ne javi nič.

Matthai ::

Hmm, čudno je tole... če rečem:
sudo ufw deny from any to any port 664 proto udp
sudo ufw deny from any to any port 600 proto udp

In potem iz druge kište:
nc -vu 192.168.XXX.xxx 664
Connection to 192.168.XXX.xxx 664 port [udp/*] succeeded!
^C
pi@senzor1:~ $ nc -vu 192.168.XXX.xxx 600
Connection to 192.168.XXX.xxx 600 port [udp/*] succeeded!

Se pravi UDP promet gre skozi v vsakem primeru (port 600 namreč naj ne bi bil indikativen z to ranljivost).
All those moments will be lost in time, like tears in rain...
Time to die.

konspirator ::

ufw je gui za iptables, ki so sw firewall na linux distro.
Kaj tu ni jasno, če dela amt neodvisno od OSja ?
--

Matthai ::

Jasno ni tole:
- če preko nc odprem port 664, se mi odpre... kar je sicer mogoče, ker je ta port "ranljiv".
- ampak port 600 pa NI "RANLJIV", torej ga ne bi smelo odpreti, ne?

Morda se zadeva odpre iz nekih drugih razlogov. Napaka v konfiguraciji firewalla, ali kaj podobnega morda?
All those moments will be lost in time, like tears in rain...
Time to die.

llc ::

UDP je connectionless. Tko da če fw paketka ne zavrne z reject ampak ga zavrže (deny) ne boš vedel, da ni povezave. A je kaj drugače, če daš namesto deny reject

Matthai ::

Isto je... (za port 600 sem testiral).
All those moments will be lost in time, like tears in rain...
Time to die.

McMallar ::

@jukoz: imas prav, Raspberry vidi port odprt (testiral z netcat). Python skripta z GitHub-a pa pravi, da sem OK...

Edit: glede na to, da imam na FW (gateway) te porte zaprte lahko sklepam, da sem OK ali ne? Ni namrec veliko informacij glede tega...
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Zgodovina sprememb…

  • spremenil: McMallar ()

jukoz ::

Python skripta išče točno specifičen string in verzijo FWja, ki je ranljiv.
Če si za firewallom ki ne uporablja Intel mrežne si verjetno OK.

Moje mnenje je, daje AMT škodljiv in bi se ga moralo dati izklopiti. Jaz imam kar nekaj mašin na voljo za testiranje in sem s pomočjo bolj pametnih od mene to tudi delal.

Rezultati so (vse mašine imajo izklopljen AMT v BIOSu):
OpenBSD in Ubuntu 16.04:
ThinkPad z i5 procom se javi samo port 623 na UDP. Če to probaš lokalno, ne boš dobil odgovora, ker ga prestreže OS. Od zunaj pa se najprej javi mrežna (ali AMT??) in dobiš odgovor. Ostali porti so neodzivni.

Na ASUS platah z i3 so mešani odzivi, ene se javijo na portu 623, ene ne.
Na Gigabyte platah na portu 623 ni odziva.

Ostali porti so mrtvi. Je pa zanimivo, da se javi mašina s Celeron procom (socket 1150, torej Haswell al neki??) in dodatno Intel mrežno. To bi prosil če lahko še kdo preveri, če ima tako kombinacijo - torej ne iX proc in Intel mrežno. Pa seveda da ni prenosnik ampak desktop mašina, po možnosti s kakšno consumer matično.

Win10:
Thinkpad z i5 se veselo javi in Intel tool javi ranljivost.

Zaključek je torej ta, da če imaš AMT izklopljen in si v omrežju, pred katerim stoji FW ki nima intel mrežne, bo vse OK. Če si za domačim routerjem bo torej vse OK. Sicer so pa članki ki jih je na začetku novice linkal jype bolj informativni.

llc ::

Matthai je izjavil:

Isto je... (za port 600 sem testiral).


Prej sem malo na pamet govoril, sedaj pa sem si vzel čas in sprobal in bi moralo držati tisto kar sem prej rekel,
Če nc ne dobi icmp-reject nazaj smatra, da je UDP povezava uspela
Connection to XX.XX.XX.XX 600 port [udp/*] succeeded!
tudi če nihče ne posluša ampak fw meče pakete v koš (iptables ... -j DROP).
Probaj še enkrat, pa glej če si zbrisal tisto deny pravilo, ker se je verjetno izvršilo pred reject?
LP

jukoz ::

llc je izjavil:

Matthai je izjavil:

Isto je... (za port 600 sem testiral).


Prej sem malo na pamet govoril, sedaj pa sem si vzel čas in sprobal in bi moralo držati tisto kar sem prej rekel,
Če nc ne dobi icmp-reject nazaj smatra, da je UDP povezava uspela
Connection to XX.XX.XX.XX 600 port [udp/*] succeeded!
tudi če nihče ne posluša ampak fw meče pakete v koš (iptables ... -j DROP).
Probaj še enkrat, pa glej če si zbrisal tisto deny pravilo, ker se je verjetno izvršilo pred reject?
LP



Kar opažam je, da če se povežem na mašino za katero vem da ima AMT, potem povezava z "nc -vu xx.xx.xx.xx 623" obvisi oz ostane aktivna. Če se poveže na random IP ne bo ostala.

MrStein ::

Matthai je izjavil:

Jasno ni tole:
- če preko nc odprem port 664, se mi odpre... kar je sicer mogoče, ker je ta port "ranljiv".
- ampak port 600 pa NI "RANLJIV", torej ga ne bi smelo odpreti, ne?

Morda se zadeva odpre iz nekih drugih razlogov. Napaka v konfiguraciji firewalla, ali kaj podobnega morda?

UDP ne podpira povezav, zato je pojem "odprl sem povezavo" nesmiseln.

Lahko pošlješ specifičen paket in dobiš specifičen odgovor in na podlagi tega sklepaš.

Prvi, ki je to omenil, bi mogoče vedel, kaj se mora poslati in kaj kaki odgovor pomeni.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

jukoz ::

A je kdo že kaj nalagal popravke za firmware.

Lahko poročam da sem ji naložil za ThinkPad T420, rezultat je da imam CPU temp ves čas okoli 100°C.

Priporočam da še malo počakate =)

Dr_M ::

Mimogrede, starejsi consumer sistemi niso ranljivi (tisti, ki imajo fw do 9.5 verzije), za corporate je pa fw za vse verzije ze na voljo (neuradno sicer, ampak se da dobit brez problema).
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

jukoz ::

Update: po resetu BIOSa na default vrednosti se tudi ne greje več.
1 2
3
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prvi virus za Apple Mac, ki okuži strojno opremo

Oddelek: Novice / Varnost
3137564 (34192) kronik
»

Katero matično ploščo naj izberem??

Oddelek: Kaj kupiti
432697 (2118) Clubraider
»

Nokia v zadnjem četrtletju pozitivno presenetila

Oddelek: Novice / Rezultati
203931 (2222) Tilen
»

Calxeda predstavila strežniške ARM-procesorje, HP pa strežnike

Oddelek: Novice / Procesorji
216415 (4277) Jst
»

Bulldozer zamuja, prihaja Llano in Fusion Z, opažen Trinity - AMD na Computexu

Oddelek: Novice / Procesorji
163980 (3335) PrimozR

Več podobnih tem