Bezpieczeństwo Intel AMT pod znakiem zapytania, zagrożone są laptopy biznesowe

12 stycznia, 2018

Firma F-Secure zidentyfikowała problem związany z bezpieczeństwem technologii Intel AMT (Active Management Technology) wykorzystywanej w milionach laptopów biznesowych na całym świecie. Haker, który ma fizyczny dostęp do urządzenia, może najpierw włamać się do niego w niespełna 30 sekund – bez konieczności wprowadzenia poświadczeń (hasło do BIOS-u, Bitlockera, PIN do TPM), aby następnie uzyskać zdalny dostęp do laptopa przez technologię Intel AMT.

Uzyskanie dostępu do urządzenia wykorzystującego technologię Intel AMT jest zaskakująco proste, co może stanowić duże zagrożenie dla jej użytkowników. W praktyce cyberprzestępca jest w stanie sprawować pełną kontrolę nad służbowym laptopem pracownika, mimo że ten stosuje wszelkie środki bezpieczeństwa – ostrzega Harry Sintonen, starszy konsultant ds. bezpieczeństwa w F-Secure, który odkrył problem.

Intel AMT to rozwiązanie do zdalnego zarządzania i monitorowania komputerów osobistych klasy korporacyjnej, stworzone po to, aby zapewnić działom IT lub dostawcom usług lepszą kontrolę nad urządzeniami. Technologia powszechnie używana w laptopach biznesowych napotykała w przeszłości problemy związane z bezpieczeństwem. Jednak łatwość z jaką można obecnie uzyskać dostęp do urządzenia bez konieczności stosowania choćby jednej linijki kodu sprawia, że ten rodzaj zagrożenia znacznie różni się od poprzednich.Istota problemu polega na tym, że ustawienie hasła do BIOS-u, które zwykle uniemożliwia nieautoryzowanemu użytkownikowi uruchomienie urządzenia lub wprowadzenie niskopoziomowych zmian, nie zapobiega uzyskaniu nieautoryzowanego dostępu do AMT BIOS Extension (MEBx).

Haker może skonfigurować AMT tak, aby możliwa była zdalna kontrola nad urządzeniem

Aby uzyskać dostęp do laptopa, trzeba:

  • uruchomić ponownie urządzenie i nacisnąć klawisze CTRL-P podczas rozruchu.
  • zalogować się do Intel Management Engine BIOS Extension (MEBx), używając hasła „admin”, ustawionego jako domyślne w większości biznesowych laptopów.
  • zmienić domyślne hasło, aktywować zdalny dostęp i wyłączyć konieczność wyrażania zgody na zdalną sesję poprzez zmianę opcji „AMT user opt-in” na „none”.

Od tego momentu haker może uzyskiwać zdalny dostęp do systemu przez sieć przewodową lub bezprzewodową – pod warunkiem, że jest zalogowany do tej samej sieci, z której korzysta ofiara, ale dostęp do urządzenia jest również możliwy spoza sieci za pośrednictwem zarządzanego przez cyberprzestępcę serwera CIRA.

Szybkość, z jaką można przeprowadzić atak, czyni go łatwo wykonalnym w tak zwanym scenariuszu Evil Maid:

Załóżmy sytuację, że pracownik firmy zostawia laptopa w pokoju hotelowym i wychodzi. Haker włamuje się do pokoju i zmienia ustawienia komputera w niespełna minutę, po czym może uzyskać dostęp do pulpitu, kiedy pracownik korzysta z laptopa, łącząc się z bezprzewodową siecią hotelową. Ponieważ urządzenie łączy się z firmową siecią VPN, cyberprzestępca może uzyskać dostęp do zasobów przedsiębiorstwa. Wystarczy minuta nieuwagi na lotnisku lub w kawiarni, żeby haker przejął kontrolę nad laptopem – podkreśla Harry Sintonen z F-Secure.

Sintonen odkrył problem w lipcu 2017 r. i zaznacza, że inny badacz również zwrócił uwagę na to zagrożenie w niedawnym wystąpieniu. Szczególnie istotne jest, aby organizacje dowiedziały się o problemie i zadziałały prewencyjnie, zanim zaczną to wykorzystywać cyberprzestępcy. Jak mówi Sintonen, o podobnym zagrożeniu informowała wcześniej organizacja CERT-Bund, ale dotyczyło to zmian konfiguracji urządzenia za pomocą dysku USB.  Problem dotyczy większości laptopów obsługujących Intel Management Engine / Intel AMT i nie jest związany z ostatnio ujawnionymi lukami Spectre oraz Meltdown.

Intel zaleca, aby producenci wymagali podawania hasła do BIOS-u w celu skonfigurowania Intel AMT. Dostępny jest dokument z zaleceniami dotyczącymi podjęcia odpowiednich środków bezpieczeństwa, przygotowany w tym celu przez firmę Intel, z grudnia 2017 r.: “Security Best Practices of Intel Active Management Technology Q&A.”

Zalecenia

Dla użytkowników końcowych:

  • Nie należy zostawiać laptopa bez nadzoru, szczególnie w miejscach publicznych.
  • Zalecany jest kontakt z działem IT w firmie w celu skonfigurowania urządzenia.
  • W przypadku własnego urządzenia, należy ustawić silne hasło dla AMT, nawet jeśli nie planuje się korzystania z tej technologii. Jeśli dostępna jest opcja wyłączenia AMT, warto z niej skorzystać. Jeśli hasło jest już ustawione na nieznaną wartość, urządzenie mogło zostać w przeszłości zaatakowane.

Dla organizacji:

  • Zalecana jest zmiana procesu konfigurowania systemów tak, aby obejmował ustawianie silnego hasła AMT lub wyłączenie AMT, jeśli taka opcja jest dostępna.
  • Należy skonfigurować hasło AMT we wszystkich obecnie używanych urządzeniach. Jeśli hasło jest już ustawione na nieznaną wartość, należy traktować urządzenie jako podejrzanei rozpocząć procedurę reagowania na incydent bezpieczeństwa.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]