Falle di sicurezza nelle CPU Intel Core, Xeon, Atom e Celeron (milioni di PC). Il tool di verifica

[nitro89]

Quote:

Originariamente inviato da /Norway\

Per OSX il problema è marginale in quanto ci penserà Apple con i relativi rilasci del firmware per le macchine interessate.
Probabilmente, i diretti interessati non verranno mai a conoscenza della cosa, si troveranno un aggiornamento di sistema che scaricheranno come hanno fatto nel corso degli anni con tutti gli altri e fine dei problemi.

Lenovo bug report:

Potential Impact: An attacker could load and execute arbitrary code outside the visibility of the user, operating system, and hypervisor/virtualization platform; resulting in exfiltration of secrets, subtle manipulation of system operation, or denial of service.

Il problema non è marginale, dal momento che per anni un ente con capacità di attacco avrebbe potuto ottenere accesso praticamente a qualsiasi macchina. Non capisco perché dobbiate minimizzare un problema per lodare una company.

[FroZen]

Quote:

Originariamente inviato da nitro89

Il problema non è marginale, dal momento che per anni un ente con capacità di attacco avrebbe potuto ottenere accesso praticamente a qualsiasi macchina. Non capisco perché dobbiate minimizzare un problema per lodare una company.

Gli hacker russiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii

Gli hacker americani invece sono i buoni! A che è servito ventimila edizioni di call of duty e i film di swarzy e stallone eh? eh?

Tornando seri: ci osno diversi articoli per poter eliminare l'ME anche senza aspettare fix del bios lato produttore.....cercate "intel me remove", mentre per Amd non ho ancora approfondito....

[bagnino89]

Per curiosità ho provato con una macchina con CPU Haswell, il log recita:

"This system may be vulnerable."

Sono apposto o devo preoccuparmi lo stesso?

Quote:

Originariamente inviato da Gibbus

Dipende. Se stiamo parlando di macchine business, per me è certo che grossi produttori come Dell e Lenovo rilasceranno BIOS aggiornati.

Dipende un bel paio di ciufoli...IMHO.
Non esistono macchine di serie A oppure di serie B.
Con un PC ci fai un milione di cose e deve essere tutelato l'utente che lo accende per collegarsi al sito della sua banca con le sue credenziali, piuttosto che quello che compra tutto online con la propria carta di credito.

Quote:

Originariamente inviato da nitro89

Lenovo bug report:

Potential Impact: An attacker could load and execute arbitrary code outside the visibility of the user, operating system, and hypervisor/virtualization platform; resulting in exfiltration of secrets, subtle manipulation of system operation, or denial of service.

Il problema non è marginale, dal momento che per anni un ente con capacità di attacco avrebbe potuto ottenere accesso praticamente a qualsiasi macchina. Non capisco perché dobbiate minimizzare un problema per lodare una company.

Non hai capito.
Il problema per Apple è marginale nel senso che ci metteranno un amen a correggerlo con un futuro upgrade del firmware.
I problemi li avranno tutti quelli che hanno una scheda madre di un produttore che magari se ne fregherà altamente di fare un fix del bios.
Apple ha il grosso vantaggio di gestire meglio il problema visto che ti vende chiavi in mano macchina e sistema operativo.

[LMCH]

Notare che queste sono le vulnerabilità NOTE delle cpu più recenti.
IME era già presente nei processori "più vecchi", solo con cpu e S.O. "integrato" differenti.

In pratica, prima usavano una cpu ARC con runtime ThreadX, poi sono passati ad un core x86 simile a quello usato negli Edison e nei Quark (grossomodo molto simili ad un core 486 "esteso" con istruzioni dei Pentium) con S.O. Minix.

Maggiori informazioni qui:
http://blog.ptsecurity.com/2017/08/d...-intel-me.html

Notare che sembra pure esserci un modo per disattivare completamente IME subito dopo il boot.

[nitro89]

Quote:

Originariamente inviato da FroZen

Gli hacker russiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii

Gli hacker americani invece sono i buoni! A che è servito ventimila edizioni di call of duty e i film di swarzy e stallone eh? eh?

Tornando seri: ci osno diversi articoli per poter eliminare l'ME anche senza aspettare fix del bios lato produttore.....cercate "intel me remove", mentre per Amd non ho ancora approfondito....

La quasi totalità dei risultati è disinformazione. Al momento e' praticamente impossible togliere ME a meno di no sparare fisicamente alla cpu. Esistono alcuni tool https://github.com/corna/me_cleaner ma sono parziali e non risolvono il problema. Sicuramente impossibile da risolvere per l utilizzatore medio.

[postillo]

su Atom D510 e Ubuntu esce questo:

"*** Risk Assessment ***
Detection Error: This system may be vulnerable, please install the Intel(R) MEI/TXEI driver (available from your system manufacturer).

Considerando che il pc e quindi la Mobo è vecchia di 10 anni e quindi non pià supportata col cavolo che il produttore rilascerà un fix

[ulukaii]

Quote:

Originariamente inviato da bagnino89

Per curiosità ho provato con una macchina con CPU Haswell, il log recita:

"This system may be vulnerable."

Sono apposto o devo preoccuparmi lo stesso?

Lancia direttamente la GUI (...\DiscoveryTool.GUI\Intel-SA-00086-GUI.exe).

Ti dirà: This system is not vulnerable

[evil weasel]

Intel ME non si può più disabilitare completamente ormai da svariati anni.
link: https://www.ptsecurity.com/upload/co...isable-eng.pdf
Tra l'altro ha dei moduli dal nome quantomeno sospetto (esempio: High Assurance Platform) e non collegati di certo ad """""hacker russi"""""".

Edit: aggiungo che mi pare di aver letto da qualche parte tempo addietro che sui PC commisionati da enti collegati alla sicurezza nazionale USA Intel ME è disabilitato da Intel stessa.
A prescindere dalle vulnerabilità scoperte recentemente è evidente come Intel ME sia un cavallo di troia.

[nitro89]

Quote:

Originariamente inviato da Mini4wdking

Il solito spalare fango sugli avversari, per ipotesi, giusto per instillare il dubbio che amd è sempre peggio.
Non commento neanche.

Davvero non capisco l'andare sul difensivo quando si cerca di esprimere un opinione. Ho sempre avuto macchine AMD e questa é un commento che proviene da un forum tecnico (che condivido). Ti invito a rileggere il mio post.

[bagnino89]

Quote:

Originariamente inviato da ulukaii

Lancia direttamente la GUI (...\DiscoveryTool.GUI\Intel-SA-00086-GUI.exe).

Ti dirà: This system is not vulnerable

Grazie ulukaii, sempre sul pezzo! Confermo, not vulnerable.

[evil weasel]

Quote:

Originariamente inviato da mally

fonte?

Se ti riferisci all'edit onestamente non mi ricordo precisamente dove l'ho letto.
Forse era uno dei documenti di snowden ma non sono sicuro, è passato un bel po' di tempo.

edit: la fonte è il PDF che ho postato nel mio precedente post, quel documento è redatto dalle due persone che hanno scoperto le vulnerabilità presenti in Intel ME (Goryachy ed Ermolov).

[[OzZ]]

se lancio Intel-SA-00086-GUI.exe mi dice che la cpu lga 1155 2500 non è vulnerabile.

ma lanciando Intel-SA-00086-console.exe, si apre una finestra di prompt, lavora un po e si chiude brutalmente.

e sul file di log c'è scritto "Detection Error: This system may be vulnerable."

forse dovuo a qualche problema dello script.

[FroZen]

Quote:

Originariamente inviato da nitro89

La quasi totalità dei risultati è disinformazione. Al momento e' praticamente impossible togliere ME a meno di no sparare fisicamente alla cpu. Esistono alcuni tool https://github.com/corna/me_cleaner ma sono parziali e non risolvono il problema. Sicuramente impossibile da risolvere per l utilizzatore medio.

Bhe ma cavando via i moduli anche se lasci il ME "core" non avrà alcuna funzionalità da attivare sul hw e verrà lasciato giusto il minimo per permettere il boot della macchina e dei vari moduli.....

Non penso che i produttori che hanno convissuto fino ad oggi con queste cose diventino angeli perchè sono stati presi con le mani nella marmellata (a uno su 100 di chi ha in mano un intel interessa sta cosa).....piuttosto mi leggo e uso tool fatti da hacker terzi per rimuovere il più possibile quanto trovato....

Almeno eviteremo che le nostre macchina siano usate come bot net per chissà quale cosa....

Sicuramente anche per AMD vale lo stesso discorso..... ma bisogna vedere quali implicazioni (leggasi "moduli" e partizioni data) hanno....

[evil weasel]

Quote:

Originariamente inviato da FroZen

Bhe ma cavando via i moduli anche se lasci il ME "core" non avrà alcuna funzionalità da attivare sul hw e verrà lasciato giusto il minimo per permettere il boot della macchina e dei vari moduli.....

Non penso che i produttori che hanno convissuto fino ad oggi con queste cose diventino angeli perchè sono stati presi con le mani nella marmellata (a uno su 100 di chi ha in mano un intel interessa sta cosa).....piuttosto mi leggo e uso tool fatti da hacker terzi per rimuovere il più possibile quanto trovato....

Almeno eviteremo che le nostre macchina siano usate come bot net per chissà quale cosa....

Sicuramente anche per AMD vale lo stesso discorso..... ma bisogna vedere quali implicazioni (leggasi "moduli" e partizioni data) hanno....

Il problema è che lo stanno blindando sempre di più, con tutto il clamore suscitato nelle ultime settimane io mi aspetto che dalla prossima release del ME diventerà molto più complesso disattivare i singoli moduli.

[FroZen]

Quote:

Originariamente inviato da evil weasel

Il problema è che lo stanno blindando sempre di più, con tutto il clamore suscitato nelle ultime settimane io mi aspetto che dalla prossima release del ME diventerà molto più complesso disattivare i singoli moduli.

Io mi aspetto che se arriverà una bella class action Intel andrà a vendere lavatrici anche se il vero mandante si sa chi è........... cough! enne cough! esse cough! a.

[evil weasel]

Quote:

Originariamente inviato da FroZen

Io mi aspetto che se arriverà una bella class action Intel andrà a vendere lavatrici anche se il vero mandante si sa chi è........... cough! enne cough! esse cough! a.

È il mio stesso auspicio ma onestamente non ci spero tanto, queste cose finiscono sempre in niente.
Guarda l'ultima sparatoria a Las Vegas offuscata delle notizie sulle presunte (alcuni casi saranno anche vere) molestie ad hollywood.
Che 50 persone sono morte e che la storia ufficiale fa acqua da tutte le parti alla persona media interessa molto meno rispetto all'ultima puttanata di gossip.

Se in AMD fossero furbi avrebbero già rilasciato i sorgenti di PSP con licenza GPLv3, ma dubito che lo faranno visto il reparto marketing che si ritrovano.

[MiKeLezZ]

Confermo. Il mio laptop è ora posseduto.
Non posso più accedervi e risulta collegato un altro utente, chiamato "1U@iF#r".
"Asmodeus.exe" risulta in esecuzione e non riesco a rimuoverlo dall'autostart.
Aspetto patch.

[bagnino89]

Quote:

Originariamente inviato da MiKeLezZ

Confermo. Il mio laptop è ora posseduto.
Non posso più accedervi e risulta collegato un altro utente, chiamato "1U@iF#r".
"Asmodeus.exe" risulta in esecuzione e non riesco a rimuoverlo dall'autostart.
Aspetto patch.

WTF???