2017.W18 - 關注安全問題
> 問題跟暗戀一樣 在你面前你卻不知道
## 前言 ##
主要跟大家分享
在資訊安全這個領域中 需要時常關注各大來源的第一手消息
像是訂閱 CVE / Linux distro security fix / 各大 open source project 的 maillist
更詳細的部分 可以參考 2017.W15
## 內容 ##
這次跟大家分享 我在 ExploitWareLabs 中看到的消息 - Intel platform 的一個安全問題[0]
更詳細的 可以參考 Intel 所釋出的安全通報[1]
從 Intel 的消息來看 問題是一個 Elevation of Privilege [2] 或者稱之為提權問題
問題發生在 2008 ~ 2017 的產品
1. AMT (Active Management Technology)
2. ISM (Intel Standard Manageability)
3. 相關版本的 SBT (Small Business Technology) firmware
然後在 Intel-based cusumer CPU 中問題不存在
從根本上來看 他的受害範圍不是家庭用戶 也不易受到網路攻擊
但是這個問題凸顯出來幾個嚴重的問題與警訊
1. SemiAccurate [3] 知道這個漏洞已經超過一年
2. SemiAccurate 在五年前曾經提過這是一個不好的設計 [4]
這表示 Intel 已經獲得這個消息超過 90 天 - 資安圈一個默認給廠商修復的時週期
在這段時間內 Intel `似乎` 沒有辦法提供一個正向的回覆
然後發現漏洞的人也基於道義沒有公開
所以這個漏洞就一個小圈子內流傳超過五年 ...
## 感想 ##
這個 case 主要是跟大家分享處理安全問題的一個流程 無論是發現方還是廠商
1. 當一個安全漏洞被發現的時候 就需假設漏洞已經被其他人發現
2. 廠商需要提供一個 `暢通` 的管道讓外部的人提報安全問題
3. 無論嚴重性 廠商都需要給一個正向的答覆 (也就是嚴重程度的判斷)
4. 同上 根據嚴重程度決定修復的時程
5. 發現漏洞的人給予一段時間後 廠商依然擺爛 下下策是公開 (disclosure) 細節
從過往的經驗中發現 廠商不處理的安全問題
其實都卡在資訊處理不對等
像是
1. 廠商高層沒有認知這是高危險的安全漏洞
2. 底層 RD 誤判嚴重程度、或者漏洞細節不夠詳盡
3. 廠商沒有提供一個提報平台
很水的一個章節... 但是我沒梗了 QQ
[0]: https://semiaccurate.com/2017/05/01/remote-security-exploit-2008-intel-platforms/
[1]: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr
[2]: https://en.wikipedia.org/wiki/Privilege_escalation
[3]: https://en.wikipedia.org/wiki/SemiAccurate
[4]: http://semiaccurate.com/2012/05/15/intel-small-business-advantage-is-a-security-nightmare/