2017.W18 - 关注安全问题
> 问题跟暗恋一样 在你面前你却不知道
## 前言 ##
主要跟大家分享
在资讯安全这个领域中 需要时常关注各大来源的第一手消息
像是订阅 CVE / Linux distro security fix / 各大 open source project 的 maillist
更详细的部分 可以参考 2017.W15
## 内容 ##
这次跟大家分享 我在 ExploitWareLabs 中看到的消息 - Intel platform 的一个安全问题[0]
更详细的 可以参考 Intel 所释出的安全通报[1]
从 Intel 的消息来看 问题是一个 Elevation of Privilege [2] 或者称之为提权问题
问题发生在 2008 ~ 2017 的产品
1. AMT (Active Management Technology)
2. ISM (Intel Standard Manageability)
3. 相关版本的 SBT (Small Business Technology) firmware
然后在 Intel-based cusumer CPU 中问题不存在
从根本上来看 他的受害范围不是家庭用户 也不易受到网络攻击
但是这个问题凸显出来几个严重的问题与警讯
1. SemiAccurate [3] 知道这个漏洞已经超过一年
2. SemiAccurate 在五年前曾经提过这是一个不好的设计 [4]
这表示 Intel 已经获得这个消息超过 90 天 - 资安圈一个默认给厂商修复的时周期
在这段时间内 Intel `似乎` 没有办法提供一个正向的回复
然后发现漏洞的人也基于道义没有公开
所以这个漏洞就一个小圈子内流传超过五年 ...
## 感想 ##
这个 case 主要是跟大家分享处理安全问题的一个流程 无论是发现方还是厂商
1. 当一个安全漏洞被发现的时候 就需假设漏洞已经被其他人发现
2. 厂商需要提供一个 `畅通` 的管道让外部的人提报安全问题
3. 无论严重性 厂商都需要给一个正向的答复 (也就是严重程度的判断)
4. 同上 根据严重程度决定修复的时程
5. 发现漏洞的人给予一段时间后 厂商依然摆烂 下下策是公开 (disclosure) 细节
从过往的经验中发现 厂商不处理的安全问题
其实都卡在资讯处理不对等
像是
1. 厂商高层没有认知这是高危险的安全漏洞
2. 底层 RD 误判严重程度、或者漏洞细节不够详尽
3. 厂商没有提供一个提报平台
很水的一个章节... 但是我没梗了 QQ
[0]: https://semiaccurate.com/2017/05/01/remote-security-exploit-2008-intel-platforms/
[1]: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr
[2]: https://en.wikipedia.org/wiki/Privilege_escalation
[3]: https://en.wikipedia.org/wiki/SemiAccurate
[4]: http://semiaccurate.com/2012/05/15/intel-small-business-advantage-is-a-security-nightmare/