jueves, 11 de mayo de 2017

Unas consideraciones sobre la vulnerabilidad CVE-2017-5689

Unas consideraciones sobre la vulnerabilidad: CVE-2017-5689, relacionada con procesadores Intel con firmware a partir de la versión: 6.0

Después de investigar sobre el asunto, puedo decir que el problema radica en el servicio: LMS.exe.

Para saber más detalladamente donde radica el fallo concreto, la segunda referencia de los siguientes enlaces es lo que buscas.

Más información:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5689
https://www.embedi.com/files/white-papers/Silent-Bob-is-Silent.pdf
https://www.tenable.com/blog/rediscovering-the-intel-amt-vulnerability
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

Este servicio es el que levanta un servicio web sobre alguno de los puertos TCP donde se puede montar el servicio web son: 623,664, 16992-16995. En una las máquinas que uso pude observarlo sobre los puertos 623/TCP y 16992/TCP

Puerto 623/TCP abierto

Puerto 16992/TCP abierto

Servicio montando  sobre el puerto: 623/TCP

Servicio montando  sobre el puerto: 623/TCP

Este servicio, se ubica sobre el directorio:  c:\Programa Files (x86)\Intel\Intel(R) Management Engine Component\LMS\, y basado en el ejecutable LMS.exe, y aparece entre los servicios de la máquina con el nombre: Intel(R) Management and Security Application Local.

Servicio en la máquina afectada.

Existe una herramienta publicada para remediar esto, y que consiste en deshabilitar el servicio y renombrar el archivo LMS.exe. Está última parte NO está bien implementada ;-)), pero la primera parte sí, siempre y cuando se ejecute la herramienta  con permisos de administrador.

Para descarga la herramienta utiliza la URL: https://packetstormsecurity.com/files/142411/Disable-Intel-AMT-master.zip

Aunque creo que la manera más rápida de hacerlo es deshabilitar el servicio anteriormente mostrado, y parar la ejecución que reside en memoria.

Resultado tras parar el servicio problemático y deshabilitarlo.


Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.  

No hay comentarios:

Publicar un comentario