Vulnera Critica su Processori Intel
05/02/2017
Proto: N010517.
Con la presente Yoroi desidera informarLa che sono stati recentemente rilasciati aggiornamenti di sicurezza critici per una importante vulnerabilità presente all'interno del firmware dei Processori Intel prodotti sin dal 2008, la problematica è nota con l’identificativo CVE-2017-5689 ed è stata confermata dal produttore attraverso il bollettino di sicurezza INTEL-SA-00075.
La vulnerabilità in oggetto affligge le componenti Active Management Technology (AMT), Standard Manageability (ISM) e Small Business Technology (SBT), parti del Management Engine delle piattaforme Intel dalla Prima (Nehalem Core) alla Settima generazione (Kaby Lake Core). In questo contesto, l’accesso DMA di sistema proprio delle funzionalità AMT può essere sfruttato da un attaccante di rete non privilegiato per modificare arbitrariamente la memoria interna ed ottenere privilegi di sistema sulle macchine bersaglio. Qualora le funzionalità AMT non fossero abilitate, la vulnerabilità in oggetto può comunque essere sfruttata da un attaccante locale non privilegiato.
All’interno del bollettino di sicurezza il Produttore indica le seguenti versioni del firmware Intel® Active Management Technology, Intel® Small Business Technology e Intel® Standard Manageability come vulnerabili: 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 e 11.6. Le versioni minori di 6 e maggiori di 11.6 non risultano affette dalla criticità.
Il Produttore ha messo a disposizione indicazioni per la mitigazione della problematica al fine di attuare l’applicazione delle patch di sicurezza idonee. È stata infatti resa disponibile una guida per determinare la presenza delle componenti vulnerabili e verificare le versioni dei firmware presenti sui sistemi. Viene inoltre consigliato di verificare gli specifici fornitori OEM per rilasci di aggiornamenti firmware specifici per il parco macchine in uso e sono state messe a disposizione ulteriori indicazioni di mitigazione in caso di mancato rilascio delle patch.
Benché al momento non siano disponibili ulteriori dettagli tecnici e non siano noti tentativi di sfruttamento di questa vulnerabilità, Yoroi suggerisce di pianificare gli aggiornamenti e/o le mitigazioni suggerite all’interno del bollettino di sicurezza INTEL-SA-00075 in quanto eventuali attacchi informatici da parte di attaccanti di elevato profilo, in grado di sfruttare questa vulnerabilità, possono portare ad intrusioni di difficile identificabilità per via della possibilità di accedere e modificare dati e memoria ad un livello più profondo rispetto al Sistema Operativo in uso sulle macchine bersaglio.
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere sistemi, signature e sandbox aggiornate, verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti e delle vostre strutture, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
La vulnerabilità in oggetto affligge le componenti Active Management Technology (AMT), Standard Manageability (ISM) e Small Business Technology (SBT), parti del Management Engine delle piattaforme Intel dalla Prima (Nehalem Core) alla Settima generazione (Kaby Lake Core). In questo contesto, l’accesso DMA di sistema proprio delle funzionalità AMT può essere sfruttato da un attaccante di rete non privilegiato per modificare arbitrariamente la memoria interna ed ottenere privilegi di sistema sulle macchine bersaglio. Qualora le funzionalità AMT non fossero abilitate, la vulnerabilità in oggetto può comunque essere sfruttata da un attaccante locale non privilegiato.
All’interno del bollettino di sicurezza il Produttore indica le seguenti versioni del firmware Intel® Active Management Technology, Intel® Small Business Technology e Intel® Standard Manageability come vulnerabili: 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 e 11.6. Le versioni minori di 6 e maggiori di 11.6 non risultano affette dalla criticità.
Il Produttore ha messo a disposizione indicazioni per la mitigazione della problematica al fine di attuare l’applicazione delle patch di sicurezza idonee. È stata infatti resa disponibile una guida per determinare la presenza delle componenti vulnerabili e verificare le versioni dei firmware presenti sui sistemi. Viene inoltre consigliato di verificare gli specifici fornitori OEM per rilasci di aggiornamenti firmware specifici per il parco macchine in uso e sono state messe a disposizione ulteriori indicazioni di mitigazione in caso di mancato rilascio delle patch.
Benché al momento non siano disponibili ulteriori dettagli tecnici e non siano noti tentativi di sfruttamento di questa vulnerabilità, Yoroi suggerisce di pianificare gli aggiornamenti e/o le mitigazioni suggerite all’interno del bollettino di sicurezza INTEL-SA-00075 in quanto eventuali attacchi informatici da parte di attaccanti di elevato profilo, in grado di sfruttare questa vulnerabilità, possono portare ad intrusioni di difficile identificabilità per via della possibilità di accedere e modificare dati e memoria ad un livello più profondo rispetto al Sistema Operativo in uso sulle macchine bersaglio.
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere sistemi, signature e sandbox aggiornate, verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti e delle vostre strutture, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
