2017.W18 - 關注安全問題 > 問題跟暗戀一樣 在你面前你卻不知道 ## 前言 ## 主要跟大家分享 在資訊安全這個領域中 需要時常關注各大來源的第一手消息 像是訂閱 CVE / Linux distro security fix / 各大 open source project 的 maillist 更詳細的部分 可以參考 2017.W15 ## 內容 ## 這次跟大家分享 我在 ExploitWareLabs 中看到的消息 - Intel platform 的一個安全問題[0] 更詳細的 可以參考 Intel 所釋出的安全通報[1] 從 Intel 的消息來看 問題是一個 Elevation of Privilege [2] 或者稱之為提權問題 問題發生在 2008 ~ 2017 的產品 1. AMT (Active Management Technology) 2. ISM (Intel Standard Manageability) 3. 相關版本的 SBT (Small Business Technology) firmware 然後在 Intel-based cusumer CPU 中問題不存在 從根本上來看 他的受害範圍不是家庭用戶 也不易受到網路攻擊 但是這個問題凸顯出來幾個嚴重的問題與警訊 1. SemiAccurate [3] 知道這個漏洞已經超過一年 2. SemiAccurate 在五年前曾經提過這是一個不好的設計 [4] 這表示 Intel 已經獲得這個消息超過 90 天 - 資安圈一個默認給廠商修復的時週期 在這段時間內 Intel `似乎` 沒有辦法提供一個正向的回覆 然後發現漏洞的人也基於道義沒有公開 所以這個漏洞就一個小圈子內流傳超過五年 ... ## 感想 ## 這個 case 主要是跟大家分享處理安全問題的一個流程 無論是發現方還是廠商 1. 當一個安全漏洞被發現的時候 就需假設漏洞已經被其他人發現 2. 廠商需要提供一個 `暢通` 的管道讓外部的人提報安全問題 3. 無論嚴重性 廠商都需要給一個正向的答覆 (也就是嚴重程度的判斷) 4. 同上 根據嚴重程度決定修復的時程 5. 發現漏洞的人給予一段時間後 廠商依然擺爛 下下策是公開 (disclosure) 細節 從過往的經驗中發現 廠商不處理的安全問題 其實都卡在資訊處理不對等 像是 1. 廠商高層沒有認知這是高危險的安全漏洞 2. 底層 RD 誤判嚴重程度、或者漏洞細節不夠詳盡 3. 廠商沒有提供一個提報平台 很水的一個章節... 但是我沒梗了 QQ [0]: https://semiaccurate.com/2017/05/01/remote-security-exploit-2008-intel-platforms/ [1]: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr [2]: https://en.wikipedia.org/wiki/Privilege_escalation [3]: https://en.wikipedia.org/wiki/SemiAccurate [4]: http://semiaccurate.com/2012/05/15/intel-small-business-advantage-is-a-security-nightmare/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1493732063.A.7AE.html