Depois do WannaCry, veja como proteger seus sistemas do “Silent Bob is Silent”

Depois dos horrores passados no episódio WannaCry, que atingiu mais de 200.000 sistemas em 150 países, todos nós fizemos o dever de casa e atualizamos os sistemas operacionais dos sistemas críticos e agora estamos protegidos, certo?

Bem, é certo que 100% de segurança não existe, mas parece que devido à notoriedade do ataque WannaCry, o bug no sistema de gerenciamento AMT dos processadores Intel® para máquinas corporativas passou quase despercebido. Muitos não atentaram para a gravidade e extensão desta vulnerabilidade e não tomaram nenhuma providência, deixando desprotegidos servidores, notebooks, máquinas desktop corporativas e até mesmo sistemas SCADA que executam neste tipo de hardware.

A tecnologia Intel® AMT / IME (Active Management Technology / Intel® Management Engine) permite fazer o gerenciamento total remoto de computadores. Esta funcionalidade é direcionada para o mercado corporativo e não para produtos de consumo comum. Computadores de diversos fabricantes renomados possuem este sistema.

Quando está habilitado (default na maioria dos sistemas) o gerenciamento remoto AMT, o computador pode ser facilmente controlado através da rede, independente do sistema operacional, pois o AMT executa por fora do sistema operacional e por fora do processador principal! O AMT pode ser acessado quando executando SETUP, em standby ou até mesmo com a máquina desligada (estando plugada na rede elétrica)!

Foi descoberto que ao autenticar para fazer o acesso remoto, basta enviar a uma string vazia (tamanho zero) na resposta de requisição de autenticação e o acesso é liberado! A esta vulnerabilidade foi atribuído o nome “Silent Bob is Silent”.

O que fazer?

  1. Desabilite o AMT! Entre no SETUP da máquina e procure por alguma opção como AMT, VPRO, ISM, SBT, Management, Gerenciamento, etc. Se encontrar, desabilite! Outra opção é tentar digitar CONTROL+P durante a inicialização para acessar o menu do AMT. Se pedir para entrar com senha utilize “Admin”, ao solicitar o cadastro de nova senha coloque uma que tenha pelo menos 8 caracteres, com letra maiúscula e minúscula, número e caractere especial, e repita a senha, na sequência desabilite o AMT pelo menu.
  2. Teste as portas TCP 16992-16995 mais a 623 e 664, por exemplo com o nmap do Linux: nmap -p16992,16993,16994,16995,623,664 ip_da_maquina_testada. Se alguma porta estiver aberta, provavelmente o AMT estará habilitado. Procure novamente opções para desabilitar no SETUP da máquina. Se não encontrar, consulte o manual do produto e/ou o site do fabricante.
  3. Execute o software “Intel® Management and Security Status” no Windows. Se aparecer a mensagem “Ativo” significa que o AMT ainda está ativado. Procure novamente desabilitar.
  4. Vários fabricantes já lançaram correções de firmware para diversos modelos de computadores. Verifique no site do fabricante. Com a correção de firmware, é possível utilizar o gerenciamento remoto de forma segura, mas não for usar é melhor deixar o AMT desabilitado.

Não se tem notícia de que este problema tenha sido explorado até o momento (23/maio17), mas note que a ferramenta EternalBlue utilizada pelo WannaCry foi divulgada em 14 de abril e o ataque se deu logo em 12 de maio. O problema do AMT foi divulgado no início de maio, sendo que o ataque é muito simples, a qualquer momento pode ser explorado. Máquinas vulneráveis expostas na Internet podem até mesmo ser encontradas usando o site Shodan!

Saiba mais em:

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

https://arstechnica.com/security/2017/05/intel-patches-remote-code-execution-bug-that-lurked-in-cpus-for-10-years/

https://www.embedi.com/files/white-papers/Silent-Bob-is-Silent.pdf

http://boingboing.net/2016/06/15/intel-x86-processors-ship-with.html

https://downloadcenter.intel.com/download/26754/INTEL-SA-00075-Mitigation-Guide

Copyright © 2017 Ricardo L. Olsen. All rights reserved.

Company: DSC Systems – https://dscsys.com

XPlain SCADA@cloud service.

#SCADA #INTEL #AMT #VULNERABILIDADE #SILENT #BOB