https://www.zdnet.com/article/intel-csme-bug-is-worse-than-previously-thought/ :Youpi !
Security researchers say that a bug in one of Intel's CPU technologies that was patched last year is actually much worse than previously thought.
"Most Intel chipsets released in the last five years contain the vulnerability in question," said Positive Technologies in a report published today.
Attacks are impossible to detect, and a firmware patch only partially fixes the problem.
To protect devices that handle sensitive operations, researchers recommend replacing CPUs with versions that are not impacted by this bug. Only the latest Intel 10th generation chips are not vulnerable, researchers said.
An early-stage vulnerability in ROM enables control over reading of the Chipset Key and generation of all other encryption keys. One of these keys is for the Integrity Control Value Blob (ICVB). With this key, attackers can forge the code of any Intel CSME firmware module in a way that authenticity checks cannot detect. This is functionally equivalent to a breach of the private key for the Intel CSME firmware digital signature, but limited to a specific platform.
The EPID issue is not too bad for the time being because the Chipset Key is stored inside the platform in the One-Time Programmable (OTP) Memory, and is encrypted. To fully compromise EPID, hackers would need to extract the hardware key used to encrypt the Chipset Key, which resides in Secure Key Storage (SKS). However, this key is not platform-specific. A single key is used for an entire generation of Intel chipsets. And since the ROM vulnerability allows seizing control of code execution before the hardware key generation mechanism in the SKS is locked, and the ROM vulnerability cannot be fixed, we believe that extracting this key is only a matter of time. When this happens, utter chaos will reign. Hardware IDs will be forged, digital content will be extracted, and data from encrypted hard disks will be decrypted.
Avast disables JavaScript engine in its antivirus following major bug :
Vulnerability would have allowed attackers to take over computers running the Avast antivirus.
flanker (./1514):Bin, euh... quand même !
Où est le problème ?
flanker (./1514):Oui il y a quand même cette limite, il dit bien qu'il faut la clé bitlocker dans un coin. Ouf.
Si le disque n'est pas chiffré
flanker (./1514):Justement, pour Windows j'aurais pas pensé.
tu peux toujours changer le mot de passe de n'importe quel compte sur n'importe quel OS (y compris macOS ou Linux)
Godzil (./1516):Ouais... ça dépend où, à qui et pour quel niveau de données, mais dans l'absolu, oui certes ^^
Des qu'il y a acces physique a une machine tu peux la considerer compromise quelque soit les solutions que tu ai pu mettre en place.
Lionel Debroux (./1526):Au moins pour iLO (et je suppose pour les autres), le mdp par défaut est unique sur chaque machine.
Les BMCs (iLO, iDRAC, etc.), même combat:
flanker (./1525):Oui et non. Je suis d'accord avec toi, mais consulter le Outlook/Thunderbird de la victime, ça va plus vite en bootant sur sa session qu'en extrayant ses fichiers... voir en imap, ça marche pas du tout avec le contenu du disque dur.
Bin pour fouiner dans le contenu d'un ordi portable, pas besoin de changer le mot de passe : suffit de booter sur n'importe quel LiveCD de Linux.
redangel (./1527) :Il y a un généralement un cache local, donc exploitable. En tout cas pour les clients natifs (je ne sais pas si les clients web le font aussi via Local Storage).
voir en imap, ça marche pas du tout avec le contenu du disque dur.
redangel (./1527) :Mais soit tu as un accès pérenne à son ordi et dans ce cas, j'imagine que le critère de vitesse n'a pas trop d'importance, soit tu dois rendre l'ordi à la victime et il va vite se rendre compte de quelque chose si tu as changé son mot de passe.Lionel Debroux (./1526):Au moins pour iLO (et je suppose pour les autres), le mdp par défaut est unique sur chaque machine.
Les BMCs (iLO, iDRAC, etc.), même combat:
Par contre, il est écrit sur une languette sur le serveur, donc si c'est pas soit changé () soit arraché, bin effectivement pas très dur de se connecter en remote.flanker (./1525):Oui et non. Je suis d'accord avec toi, mais consulter le Outlook/Thunderbird de la victime, ça va plus vite en bootant sur sa session qu'en extrayant ses fichiers... voir en imap, ça marche pas du tout avec le contenu du disque dur.
Bin pour fouiner dans le contenu d'un ordi portable, pas besoin de changer le mot de passe : suffit de booter sur n'importe quel LiveCD de Linux.