solution Contentsolution Content

COMUNICAZIONE DI SUPPORTO- BOLLETTINO SULLA SICUREZZA

ID documento: c05513172

Versione: 1

HPSBHF03557 Rev. 1 - Escalation dei privilegi da remoto in Intel Active Management Technology, Intel Small Business Technology e Intel Standard Manageability

AVVISO: Le informazioni contenute nel presente bollettino devono essere applicate il più presto possibile.

Data di rilascio : 09-May-2017

Ultimo aggiornamento : 09-May-2017

Potenziale impatto sulla sicurezza:
Escalation dei privilegi da remoto in sistemi con provisioning o escalation dei privilegi locale in sistemi senza provisioning.

RIEPILOGO VULNERABILITÀ
È stata rilevata una vulnerabilità nella protezione del firmware di gestione Intel, che interessa tutti gli OEM Intel. Tale vulnerabilità è un difetto della protezione sorto in fase di sviluppo e distribuzione del firmware Manageability di Intel. La vulnerabilità interessa alcuni dei computer commerciali, 2 computer consumer, workstation, thin client e punti vendita di HP. L’interesse prioritario di HP è quello di supportare i nostri clienti e verificare la sicurezza e protezione dei loro sistemi.
Intel ha pubblicato il seguente avviso di sicurezza ( https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr):
È stata rilevata una vulnerabilità di escalation dei privilegi nelle versioni 6.x, 7.x, 8.x, 9.x, 10.x, 11.0, 11.5 e 11.6 dei firmware Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) e Intel® Small Business Technology, che possono consentire a un utente malintenzionato non autorizzato di ottenere il controllo delle funzioni di gestibilità fornite da questi prodotti.
Questa vulnerabilità potrebbe essere accessibile in due modi. Tenere presente che Intel® Small Business Technology non è vulnerabile al primo problema.
  1. Un utente malintenzionato e non autorizzato della rete potrebbe ottenere i privilegi di sistema per le SKU di gestibilità con provisioning di Intel: Intel Active Management Technology (AMT) e Intel Standard Manageability (ISM).
  2. Un utente locale malintenzionato e senza privilegi potrebbe eseguire il provisioning delle funzioni di gestibilità ottenendo privilegi di rete o di sistema non autorizzati sulle SKU di gestibilità Intel: Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) e Intel Small Business Technology (SBT).
Numero di riferimento
CVE-2017-5689, INTEL-SA-00075 (Intel), PSR-2017-0065 (HP)
VERSIONI SOFTWARE SUPPORTATE*: sono riportate SOLO le versioni interessate.
Visitare la seguente pagina per consultare l’elenco più aggiornato dei prodotti interessati e non interessati:
INFORMAZIONI DI BASE
Per una versione PGP firmata del presente bollettino sulla sicurezza, scrivere a: hp-security-alert@hp.com
Metrica di base CVSS 3.0
Riferimento
Vettore di base
Punteggio di base
CVE-2017-5689
(1) Sistemi con provisioning: (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
(1) 9,8
(2) Sistemi senza provisioning: (AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
(2) 8,4
Le informazioni relative a CVSS sono documentate nell’avviso ai clienti HP: HPSN­2008­002.
È necessario verificare frequentemente le procedure di protezione e gestione dei sistemi per preservare l’integrità dei sistemi stessi. HP verifica e migliora costantemente le funzioni di protezione dei prodotti software per fornire ai propri clienti le soluzioni più sicure e aggiornate.
“HP sta distribuendo il presente Bollettino sulla sicurezza a livello globale per avvisare gli utenti dei prodotti HP interessati dalle importanti informazioni sulla protezione contenute in questo bollettino. HP consiglia a tutti gli utenti di stabilire la validità di queste informazioni per il loro caso specifico e di intervenire in modo appropriato. HP non garantisce che queste informazioni siano necessariamente accurate o complete per tutti i casi degli utenti e, di conseguenza, HP non sarà responsabile di eventuali danni provocati dall’utilizzo o dall’inosservanza da parte dell’utente delle informazioni riportate in questo bollettino. Nella misura consentita dalla legge, HP declina ogni garanzia, espressa o implicita, incluse le garanzie di commerciabilità e idoneità per un particolare scopo, titolo e mancata violazione di diritti di terzi.”
RISOLUZIONE

Mitigazione

HP sta lavorando a stretto contatto con Intel per verificare, convalidare e implementare l’aggiornamento del firmware di Intel e assiste i nostri clienti nella mitigazione di potenziali rischi derivanti dalla vulnerabilità dei sistemi Intel rilevata di recente. L’interesse prioritario di HP è quello di supportare i nostri clienti e verificare la sicurezza e protezione dei loro sistemi.
Visitare la seguente pagina per consultare le informazioni più aggiornate relative alla mitigazione e risoluzione dei problemi:
...
Patch di sicurezza di terze parti: le patch di sicurezza di terze parti da installare su sistemi che eseguono prodotti software HP devono essere applicate in base ai criteri di gestione patch del cliente.
Supporto: per problemi riguardanti l’implementazione delle raccomandazioni del presente bollettino sulla sicurezza, contattare il normale canale di Assistenza clienti HP. Per altri problemi riguardanti il contenuto del presente Bollettino sulla sicurezza, inviare un’e-mail all’indirizzo hp-security-alert@hp.com.
Segnalazione: per segnalare una potenziale vulnerabilità della protezione di qualsiasi prodotto di assistenza HP, inviare un’e-mail a: hp­security­alert@hp.com.
Sottoscrizione: Per avviare un abbonamento per ricevere futuri avvisi e Bollettini sulla sicurezza HP via e-mail, visitare il sito https://h41369.www4.hp.com/alerts-signup.php?lang=en&cc=US&jumpid=hpsc_profile.
Categorie di prodotti software: la categoria del prodotto software è rappresentata nel titolo dai due caratteri che seguono HPSB.
PI
HP Printing and Imaging
HF
HP Hardware and Firmware
ST
HP Storage Software
GN
HP General Software
Supporto: per ulteriori informazioni, contattare il normale canale di assistenza di HP.
Segnalazione: per segnalare una potenziale vulnerabilità della protezione di qualsiasi prodotto di assistenza HP, inviare un’e-mail a: hp-security-alert@hp.com.
Si consiglia vivamente di comunicare ad HP le informazioni relative alla sicurezza in forma crittografata utilizzando PGP, in particolare le informazioni di utilizzo.
Per ottenere la chiave del messaggio di protezione PGP, inviare un’e-mail come indicato di seguito:
Oggetto: get key
La gestione del sistema e le procedure di sicurezza devono essere analizzate frequentemente per mantenere l'integrità del sistema. HP rivede e ottimizza continuamente le funzionalità di protezione dei prodotti software per fornire ai propri clienti le soluzioni più aggiornate e sicure.

"HP distribuisce il presente bollettino al fine di portare l'attenzione degli utenti sui prodotti HP interessati dalle importanti informazioni di sicurezza contenute nel bollettino. HP consiglia a tutti gli utenti di stabilire l'applicabilità di queste informazioni alle loro situazioni individuali al fine di prendere le misure appropriate. HP non garantisce la precisione o la completezza di queste informazioni per l'utilizzo in tutte le situazioni e, di conseguenza, HP non è responsabile di qualsiasi danno derivante dall'utilizzo o dal mancato utilizzo delle informazioni fornite dal presente bollettino. Secondo quanto previsto dalla legge, HP non è responsabile di qualsiasi garanzia, incluse tutte le garanzie espresse e implicite e le condizioni di commerciabilità, di idoneità per uno scopo specifico, della titolarità e della violazione dei diritti altrui."
CRONOLOGIA REVISIONI : Revisione 1.1, 4 maggio 2017

HP Inc. declina ogni responsabilità per eventuali omissioni ed errori tecnici o editoriali contenuti nel presente documento. Le informazioni vengono fornite "così come sono" senza garanzie di alcun tipo. Secondo quanto previsto dalla legge, né HP né le sue associate, subappaltatori o fornitori potranno essere ritenuti responsabili per qualsiasi danno incidentale, speciale o derivante compresi i costi per i tempi di inattività, perdita di profitti, danni imputabili a forniture di prodotti o servizi sostitutivi oppure a perdite di dati o ripristino di software. Le informazioni contenute nel presente documento sono soggette a modifiche senza preavviso. HP Inc. e i nomi dei prodotti HP sono marchi di HP Inc. negli Stati Uniti e in altri Paesi. I nomi degli altri prodotti e delle società qui riportati potrebbero essere marchi dei loro rispettivi proprietari.