"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-Ausführung

creative2k 23.09.2017 - 07:18 7337 14
Posts

creative2k

Phase 2.5
Avatar
Registered: Jul 2002
Location: Vienna
Posts: 8288
Bearbeitet von creative2k am 23.09.2017, 07:23

lalaker

TBS forever
Avatar
Registered: Apr 2003
Location: Bgld
Posts: 14699
Wenn das zutrifft hat es das Zeug zum Supergau (medial).

Dreamforcer

New world Order
Avatar
Registered: Nov 2002
Location: Tirol
Posts: 8892
wirklicih erschlossen hat sich mir der sinn der me eh noch nicht, daher wundert mich solche sachen nicht wirklich, war ja nicht die erste lücke dort

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
In der ME wurde das schon lange vermutet und es geisterte vor Jahren schon diverse Hacks dafür herum.
Das das Ding jetzt aber so offen verwundert doch etwas.

Im Grunde ist das aber nicht unbedingt eine Sicherheitslücke sondern teil vom Design

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
soweit ich informiert bin, lässt es sich nur über die onboard Intel NIC ausnutzen.

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19561
Ist das jetzt was Neues oder geht es da um die uralt-News von hier: https://www.overclockers.at/mainboa...sweitung_248746
?

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Andere, wesentlich weitreichendere Lücke.
Aber selbes Problem

xaxoxix

Dagegen da eigene Meinung
Avatar
Registered: Mar 2003
Location: Hinterbrühl - N..
Posts: 614
wir setzen amt seit jahren ein allerdings nur innerhalb der internen netzwerke und fahren eigentlich sehr gut damit, dass ich unabhängig von treibern und betriebssystem aufs kastel zugreifen kann hat schon gewaltigen charme, netzwerkkartentreiber im betirebssystem nicht vorhanden - scheissegal greif dennoch per fernwartung zu, spiel das dings ein, fertig, rechner raus aus domain, wieder rein, alles wurscht, windows firewall blockiert was eigentlich für betirebssytem wartung notwenidg is, linux rumwurschteln, mac, alles wurscht und ob das kistel eingeschaltet is oder nicht is ma auch wumpe

zugriffe von aussen gibts sowieso keine nutzbaren zu den clients
Bearbeitet von xaxoxix am 06.10.2017, 19:31

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
Reicht ja wenn ein Client ein Spam mail öffnet und dein l2 Segment ist sowas von kompromittiert binnen Sekunden.
Boarder Firewall hilft da gerade bei Clients nur ganz wenig.

Rogaahl

Super Moderator
interrupt
Avatar
Registered: Feb 2014
Location: K
Posts: 2040
Frage mich ob https://github.com/corna/me_cleaner da noch Abhilfe schafft, von der vorigen Lücke war ich nicht mehr betroffen da ich einfach die ME firmware selbst upgedated habe.

Warum gibt es noch immer keine Geräte die mit Libreboot ausgeliefert werden.. :mad:

xaxoxix

Dagegen da eigene Meinung
Avatar
Registered: Mar 2003
Location: Hinterbrühl - N..
Posts: 614
Zitat aus einem Post von Smut
Reicht ja wenn ein Client ein Spam mail öffnet und dein l2 Segment ist sowas von kompromittiert binnen Sekunden.
Boarder Firewall hilft da gerade bei Clients nur ganz wenig.

schliesse ich aus, da bei uns nur eine whitelist von ausführbaren dateien gestartet werden kann (softwarepolicies), macros, anderer schass sowieso nicht erlaubt ist und sämtlicher webtransfer über proxy geleitet wird (ebenso whitelistbasierend)
Bearbeitet von xaxoxix am 06.10.2017, 21:57

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
Greift in der Regel bei einem exploit nicht sondern schützt vor dem User.
Was verwendet ihr? Applocker?

xaxoxix

Dagegen da eigene Meinung
Avatar
Registered: Mar 2003
Location: Hinterbrühl - N..
Posts: 614
nein softwarerestrictions policies aus dem ad (und ja ist ähnlich der clientbasierten lösung des applockers) btw und ja greift natürlich auch im falle von exploits solange diese nicht die softwarerestrictiontechnologie von ms selbst betreffen und sollte es programme der whitelist treffen - was zwar möglich wäre ( ich aber aufgrund unserer sehr strickten auswahl und permanenten audits , updates, testweisen attacks selber versuchen zu überprüfen eher ausschliese) greifen noch weitere schutzmechanismen und damit meine ich nicht clientvirenscanner etc die generell mehr schaden anrichten als nutzen haben, aber das sehen viele halt anders

den aufwand dahinter möchte ich aber auch keinem zumuten, der es aufgrund der sensibilität der daten nicht machen muss, hängt schon ziemlich ein rattenschwanz hinten drann, grundsätzlich sind sehr sichere systeme möglich
Bearbeitet von xaxoxix am 06.10.2017, 23:39

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19561
Zitat aus einem Post von xaxoxix
schliesse ich aus, da bei uns nur eine whitelist von ausführbaren dateien gestartet werden kann (softwarepolicies), macros, anderer schass sowieso nicht erlaubt ist und sämtlicher webtransfer über proxy geleitet wird (ebenso whitelistbasierend)
Ist halt keine normale Umgebung imho (könnte als Support nicht mit so einer Umgebung leben), hört sich außerdem ziemlich nach AIDS an. (imho)

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
Zitat aus einem Post von xaxoxix
nein softwarerestrictions policies aus dem ad (und ja ist ähnlich der clientbasierten lösung des applockers) btw und ja greift natürlich auch im falle von exploits solange diese nicht die softwarerestrictiontechnologie von ms selbst betreffen und sollte es programme der whitelist treffen - was zwar möglich wäre ( ich aber aufgrund unserer sehr strickten auswahl und permanenten audits , updates, testweisen attacks selber versuchen zu überprüfen eher ausschliese) greifen noch weitere schutzmechanismen und damit meine ich nicht clientvirenscanner etc die generell mehr schaden anrichten als nutzen haben, aber das sehen viele halt anders

den aufwand dahinter möchte ich aber auch keinem zumuten, der es aufgrund der sensibilität der daten nicht machen muss, hängt schon ziemlich ein rattenschwanz hinten drann, grundsätzlich sind sehr sichere systeme möglich

Hängt wie gesagt vom exploit ab. Der 0815 exploit nutzt die Schwachstelle ja nur um eigene binaries nachzuladen, diese würden dann geblockt werden.
Ein guter exploit würde eher im Rahmen der Berechtigungen der Applikation weiterarbeiten. Wenn Das OS angegrifren wird ist es sowieso vorbei. das kannst nur durch sideeffects erkennen.
Aber gut, das geht etwas vom Thema vorbei. Wenn ihr diesen hohen schutzbedarf habt, dann sind diese Intel vulnerabilities (wenn nicht sogar Design Fehler), auf jeden Fall etwas das ihr beheben müsst.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz