IntelAMT 固件密码绕过登录漏洞分析与实战
Byantian365.com simeon
1.1漏洞简介
2017年5月1日,英特尔公布了AMT漏洞(INTEL-SA-00075),但该漏洞的细节未公开。2017年5月5日,Tenable公司研究人员卡洛斯·佩雷斯通过分析LMS软件包,最终发现并成功利用该漏洞。
1.漏洞编号
IntelAMT 固件密码绕过登录漏洞CVE漏洞编号CVE-2017-5689;Intel AMT 固件可以配置英特尔可管理性SKU:英特尔主动管理技术(AMT)和英特尔标准可管理性(ISM)。换句话说可以通过安装LMS软件包来管理硬件,提供Web访问接口。无特权网络攻击者可以获得系统权限,可以添加管理员帐号,可以更改网络设置,可以远程重启计算机等。
AMT是一款可通过设备的有线以太网接口网络端口16992访问的带外管理工具:它将系统的完全控制暴露到网络,允许IT人员和其它系统管理员远程重启、修复并轻微调整服务器和工作站。它能够提供一个虚拟串行控制台和(如果安装的是正确的驱动)远程桌面访问权限。在获取权限之前应该要求提供密码,但是上述提到的漏洞意味着攻击者能够入侵硬件的控制面板。即使已经为系统的AMT访问权限设置了防火墙,但在用户网络上的攻击者或恶意软件仍然能够利用这个漏洞进入AMT管理的工作站和服务器并进一步攻陷企业。
2.受影响系统
受影响的硬件版本6.x,7.x,8.x ,9.x,10.x,11.0,11.5和11.6:
第一代 Core family: 6.2.61.3535
第二代 Core family: 7.1.91.3272
第三代Core family: 8.1.71.3608
第四代Core family: 9.1.41.3024 and 9.5.61.3012
第五代Core family: 10.0.55.3000
第六代Core family: 11.0.25.3001
第七代Core family: 11.6.27.3264
3.攻击场景
(1)可以直接关闭服务器电源
(2)通过加载img镜像文件重启系统,运行指定系统。
(3)直接修改BIOS
(4)通过KVM进行管理
4.漏洞利用原理
AMT登录管理中通过response_length值来进行判断,也即关键代码:
if(strncmp(computed_response,user_response, response_length))
deny_access();
这个标准函数仅仅比较两个字符串中每一个的response_length字节,看看它们是不是一样,加以比较的两个字符串是试图登录所发送的验证响应(user_response)和服务要求的响应(computed_response)。如果两者相符,密码肯定对的,所以该函数返回零,代码继续授予访问权。如果两个字符串不一样,该函数返回值是非零,这意味着密码不对,所以拒绝访问。所以如果提供的是空字符串,长度为零,没有字节被检查,因而没有字节是不一样的;不出所料,strncmp()返回零,表明验证成功。因而,空的响应字符串被认为有效而被放行,实际上明明是无效的,因此通过修改response的所有值为空,即可绕过验证进行登录。
1.2漏洞利用还原
1.搜索端口号
存在该漏洞对外提供的端口为16992、16993和623,可以借助zoomeye和shodan等搜索引擎搜索“port:16992”、“port: 16993”和“port: 623”来获取,为了更加精准收集目标信息,可以可以增加关键字IntelActive Management Technology,如图1所示,直接搜索IntelActiveManagement Technology country:China country:China port:16992。
图1搜索存在端口的服务器
2.查看是否正常运行web服务器
在搜索结果中对存在二个正方形的图标的记录进行查看,例如直接单击打开“118.150.17.193”搜索结果记录地址“http://118.150.17.193:16992/logon.htm”如图2所示,网站能够正常运行。
图2查看AMT服务是否正常运行
3.修改burpsuite设置
运行burpsuite后,单击“Proxy”-“Option”,在“Match andReplace”中新建或者编辑Request Header条目,Match值为response\s*="[0-9a-f]+",Replace 的值为response="",设置如图3所示,在拦截(Intercept)中设置拦截开关为“Interceptis On”。
图3修改burpsuite设置
4.使用admin登录
回到浏览器中(一定要设置IE代理为127.0.0.1代理端口8080),单击“Log On”进行登录,用户名输入admin,密码随便输入。
图4使用admin进行登录
5.成功登录AMT管理界面
在burpsuite的Intercept中,单击“Forward”进行放行,如图5所示,成功登录AMT管理界面,在该界面中可以看到电源的状态是休眠,IP地址,无线IP地址,系统ID等信息,还可以查看系统、处理器、内存、磁盘和电源等详细情况。
图5登录AMT管理界面
6.远程重启系统
单击“Remote Control”(远程控制),如图6所示,可以进行常规启动,从光盘启动,从硬盘启动,甚至直接关闭电源!对于重要的系统,一旦关闭电源,其后果可以想象一下!
图6远程控制系统
7.用户帐号管理
单击“User Accounts”,在其中可以新建用户,修改用户密码,删除用户以及更改管理员,如图7所示,还可以设置管理员的权限级别。添加用户其密码强度有要求,要求最少8位,密码为字母大小写,数字和特殊字符组成,如图8所示,否则无法添加成功。
图7用户管理
图8修改密码
8.使用Nmap对目标IP进行全TCP端口扫描
使用Nmap对目标IP进行全TCP端口扫描的结果表明,存在16992、16994和623端口。如图9所示,跟Tenable公司研究提出的端口16992、16993和 623有所出入。
1.3 kali平台下msf利用
直接运行msf,然后使用以下模块进行测试:
use auxiliary/scanner/http/intel_amt_digest_bypass
msf auxiliary(intel_amt_digest_bypass) >show actions
msf auxiliary(intel_amt_digest_bypass) >set ACTION <action-name>
msf auxiliary(intel_amt_digest_bypass) >show options
msf auxiliary(intel_amt_digest_bypass) >run
1.4安全防范
1.扫描
Tenable公司已经在Nessus中更新最新脚本,使用该扫描器的朋友可以更新其Scripts即可。对其它扫描器,可以增加扫描端口16992、16993、16994和623端口。一旦开启通过手工访问进行判断。
2.加固
在防火墙上关闭16992、16993、16994和623端口,等待intel公司提供升级补丁后更新固件或者升级。
1.5参考文章
(1)https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5689
(2)https://threatpost.com/researcher-baseless-assumptions-exist-about-intel-amt-vulnerability
/125390/
(3)https://www.tenable.com/blog/rediscovering-the-intel-amt-vulnerability
(4)https://www.embedi.com/files/white-papers/Silent-Bob-is-Silent.pdf
(5)https://www.rapid7.com/db/modules/auxiliary/scanner/http/intel_amt_digest_bypass
本文转自 simeon2005 51CTO博客,原文链接:http://blog.51cto.com/simeon/1928915
