aktualności

Zagrożenie w Intel AMT dla laptopów biznesowych

32
15 stycznia 2018, 08:29 Piotr Gontarczyk

Zima w pełni, a wokół Intela wciąż gorąco. Firma F-Secure zidentyfikowała problem związany z bezpieczeństwem techniki Intel AMT (Active Management Technology) wykorzystywanej w milionach laptopów biznesowych na całym świecie. Haker, który ma fizyczny dostęp do urządzenia, może najpierw włamać się do niego w niespełna 30 sekund – bez konieczności wprowadzenia poświadczeń (hasło do BIOS-u, Bitlockera, PIN do TPM), aby następnie uzyskać zdalny dostęp do laptopa.

Uzyskanie dostępu do urządzenia wykorzystującego technologię Intel AMT jest zaskakująco proste, co może stanowić duże zagrożenie dla jej użytkowników. W praktyce cyberprzestępca jest w stanie sprawować pełną kontrolę nad służbowym laptopem pracownika, mimo że ten stosuje wszelkie środki bezpieczeństwa – ostrzega Harry Sintonen, starszy konsultant ds. bezpieczeństwa w F-Secure, który odkrył problem. Intel AMT to rozwiązanie do zdalnego zarządzania i monitorowania komputerów osobistych klasy korporacyjnej, stworzone po to, aby zapewnić działom IT lub dostawcom usług lepszą kontrolę nad urządzeniami.

Technika powszechnie używana w laptopach biznesowych napotykała w przeszłości problemy związane z bezpieczeństwem. Jednak łatwość z jaką można obecnie uzyskać dostęp do urządzenia bez konieczności stosowania choćby jednej linijki kodu sprawia, że ten rodzaj zagrożenia znacznie różni się od poprzednich. Istota problemu polega na tym, że ustawienie hasła do BIOS-u, które zwykle uniemożliwia nieautoryzowanemu użytkownikowi uruchomienie urządzenia lub wprowadzenie niskopoziomowych zmian, nie zapobiega uzyskaniu nieautoryzowanego dostępu do AMT BIOS Extension (MEBx). Haker może skonfigurować AMT tak, aby możliwa była zdalna kontrola nad urządzeniem. Aby uzyskać dostęp do laptopa, wystarczy uruchomić ponownie urządzenie i nacisnąć klawisze CTRL-P podczas rozruchu.

Zobacz ranking popularnych laptopów

Następnie haker może zalogować się do Intel Management Engine BIOS Extension (MEBx), używając hasła „admin”, ustawionego jako domyślne w większości biznesowych laptopów. Kolejny krok to zmiana domyślnego hasła, aktywowanie zdalnego dostępu i wyłączenie konieczności wyrażania zgody na zdalną sesję poprzez zmianę opcji AMT user opt-in na none. Od tego momentu haker może uzyskiwać zdalny dostęp do systemu przez sieć przewodową lub bezprzewodową – pod warunkiem, że jest zalogowany do tej samej sieci, z której korzysta ofiara. Dostęp do urządzenia jest również możliwy spoza sieci za pośrednictwem zarządzanego przez cyberprzestępcę serwera CIRA.

Szybkość, z jaką można przeprowadzić atak, czyni go łatwo wykonalnym w tak zwanym scenariuszu Evil Maid: – Załóżmy sytuację, że pracownik firmy zostawia laptopa w pokoju hotelowym i wychodzi. Haker włamuje się do pokoju i zmienia ustawienia komputera w niespełna minutę, po czym może uzyskać dostęp do pulpitu, kiedy pracownik korzysta z laptopa, łącząc się z bezprzewodową siecią hotelową. Ponieważ urządzenie łączy się z firmową siecią VPN, cyberprzestępca może uzyskać dostęp do zasobów przedsiębiorstwa.

Wystarczy minuta nieuwagi na lotnisku lub w kawiarni, żeby haker przejął kontrolę nad laptopem – podkreśla Harry Sintonen z F-Secure. Sintonen odkrył problem w lipcu 2017 r. i zaznacza, że inny badacz również zwrócił uwagę na to zagrożenie w niedawnym wystąpieniu. Szczególnie istotne jest, aby organizacje dowiedziały się o problemie i zadziałały prewencyjnie, zanim zaczną to wykorzystywać cyberprzestępcy. Jak mówi Sintonen, o podobnym zagrożeniu informowała wcześniej organizacja CERT-Bund, ale dotyczyło to zmian konfiguracji urządzenia za pomocą dysku USB.

Intel zaleca, aby producenci wymagali podawania hasła do BIOS-u w celu skonfigurowania Intel AMT. Dostępny jest dokument z zaleceniami dotyczącymi podjęcia odpowiednich środków bezpieczeństwa, przygotowany w tym celu przez firmę Intel, z grudnia - “Security Best Practices of Intel Active Management Technology Q&A”.

Źródło: prasowe
p_liderZobacz profil
Poziom ostrzeżenia: 0%
p_lider2018.01.15, 08:38
21#1
Akurat to mi bardziej wygląda na nieudolność właścicieli i administratorów, niż faktyczny błąd w AMT. Skoro właściciel lub admin nie potrafią zabezpieczyć dostępu do AMT (zmienić domyślne hasło), to sami są raczej sobie winni, a nie, że AMT ma w sobie lukę.

Inną sprawą jest to, że w grubej większości przypadków AMT nie da się w ogóle wyłączyć, co jest moim zdaniem karygodne.
yendrekZobacz profil
Poziom ostrzeżenia: 0%
yendrek2018.01.15, 08:45
Meltdown, MEBx... Ciekawią mnie dalsze przyczyny wyprzedaży akcji przez CEO intela. Choć tak naprawdę to tylko Meltdown wystarczy.
yendrekZobacz profil
Poziom ostrzeżenia: 0%
yendrek2018.01.15, 08:51
12#3
p_lider @ 2018.01.15 08:38  Post: 1119507
(...)Skoro właściciel lub admin nie potrafią zabezpieczyć dostępu do AMT (zmienić domyślne hasło), to sami są raczej sobie winni, a nie, że AMT ma w sobie lukę.(...)

Oczywiście że są winni, co nie zmienia faktu, że AMT ma skrajnie łatwą do wykorzystania lukę.

A teraz czekam na komunikat intela o braku odpowiedzialności za lenistwo adminów.
Atak_SnajperaZobacz profil
Poziom ostrzeżenia: 0%
Atak_Snajpera2018.01.15, 08:56
12#4
Intel - 'Wina AMD!'
p_liderZobacz profil
Poziom ostrzeżenia: 0%
p_lider2018.01.15, 09:23
12#5
Według mnie większą wtopą jest to, że łatki Intela odnośnie Spectre i Meltdown w ich mikrokodzie powodują losowe twarde resety: https://ithardware.pl/aktualnosci/latki_in..._blad-4891.html
StjepanZobacz profil
Poziom ostrzeżenia: 0%
Stjepan2018.01.15, 09:33
16#6
Jak by zrobić listę to trochę tego jest:
1 Glut.
2. Meldtown i Spectre
3 AMT
4 Intel Mangament Engine.

@yendrek dzięki.
p_liderZobacz profil
Poziom ostrzeżenia: 0%
p_lider2018.01.15, 09:37
15#7
@Stjepan, jeszcze wysokie temperatury by trzeba było dodać, ale na pclab to ostatnio temat tabu.
EDIT: Oraz stuttering w grach...
yendrekZobacz profil
Poziom ostrzeżenia: 0%
yendrek2018.01.15, 09:54
13#8
@Stjepan: Twój punkt 4 to Intel Management Engine, było o tym na pcl http://pclab.pl/news76328.html
Zatem w obrębie samego procka mamy dramat w trzech częściach: IME, Meltdown/Spectre, AMT. To Be Contiuned? ;)
vibovitZobacz profil
Poziom ostrzeżenia: 0%
vibovit2018.01.15, 10:32
-17#9
Guwnowburza się zaczyna, teraz afera że ludzie hasła do biosu nie zmieniają i to jest wina Intela :E
wuzetkowiecZobacz profil
Poziom ostrzeżenia: 0%
wuzetkowiec2018.01.15, 11:03
Tak się zmusza ludzi do wymiany komputerów. Skończą się gadki, że na moim leciwym tym i tamtym, to i tamto hula bez problemu. Strach przed włamaniem ma wielkie oczy, więc wielu wymieni na niby bezpieczniejszy. Również dużo instytucji, gdzie tak naprawdę tkwi największa kasa związana z zakupami sprzętu.
Zaloguj się, by móc komentować
1