Bona nit,
Com supose que moltes de vosaltres sabreu fa unes setmanes es va
publicar una vulnerabilitat del subsistema Intel AMT que permetia fer
una escalada de privilegis saltant-se la contrasenya. Aquest subsistema
és una tecnologia incorporada al firmware de les plaques Intel per a
administrar màquines remotament sense importar el sistema operatiu.
He trobat a la web alguns recursos per a poder afrontar la problemàtica
els que usem GNU/Linux per tal de detectar una posible activitat
d'aquest subsistema:
Sabent els ports que fa servir es pot monitoritzar l'activitat del
sistema amb:
netstat | egrep '16992|16993|16994|16995|623|664'
(no del tot fiable ja que AMT es independent del SO i es podria amagar
la connexió en cas que ens hagueren infectat fent servir la
vulnerabilitat)
o monitoritzar la nostra xarxa local amb:
nmap -p 16992,16993,16994,16995,623,664 <ip xarxa>
<ip xarxa> en alguns casos 192.168.0.1/24 o 192.168.1.1/24 depenent del
router. Recomanable fer-ho des d'altra màquina que no siga la que
vulguem comprovar.
A més, com sempre, Intel va treure el parxe per al firmware per als
fabricants i per tant per a Windows. I encara que molts fabricants,
sobretot portàtils no habiliten aquesta tecnologia, els usuaris de
GNU/Linux pareixia que ens quedàvem amb els pantalons baixats, fins el
dijous que van publicar la utilitat per diagnosticar i deshabilitar-ho
en Ubuntu:
https://downloadcenter.intel.com/download/26799/INTEL-SA-00075-Linux-De
tection-and-Mitigation-Tools?product=23549
Potser si no fem servir Ubuntu hi haja que compilar amb "make all" el
nostre executable.
ALERTA: aneu amb compte a l'hora d'executar la ferramenta per
deshabilitar ja que toca coses de la BIOS i encara que siga Intel el
que ho publica pot ser perillós.
Salut!
--
Jaumet ¯\_(ツ)_/¯
/------------------->
PGP fingerprint: EEB9 94C0 A6F7 C917 9504 602B 0C71 AF4E 6D6F 031D
\------------------->
