AMT, czyli kto może znienacka zacząć zarządzać Twoim laptopem

dodał 16 stycznia 2018 o 21:03 w kategorii Wpadki  z tagami:
AMT, czyli kto może znienacka zacząć zarządzać Twoim laptopem

Badacze ujawnili błędy logiczne w technologii Active Management Technology procesorów Intel. „Funkcja” ta pozwala na obejście procesu logowania i uzyskanie kontroli nad urządzeniem w mniej niż 30 sekund.

Zazwyczaj ustawiając hasło blokujące dostęp do BIOS’u uniemożliwia się nieupoważnionym użytkownikom zmianę procesu bootowania. Odkryty błąd pozwala każdemu, kto ma fizyczny dostęp do podatnego urządzenia, na ominięcie potrzeby podania poświadczeń logowania: hasła użytkownika, hasła BIOS’u, BitLockera, czy kodu PIN do TPM’a. Takie zachowanie chipsetu daje możliwość dowolnej konfiguracji AMT, co docelowo prowadzi do ustanowienia zdalnego zarządzania urządzeniem.

Źródło: https://webdevolutions.blob.core.windows.net/blog/2016/10/Intel-AMT-Integrated-RemoteDesktopManager.png

AMT – co to za zwierzę

Technologia Intel Active Management Technology (AMT) została dodana do chipsetów Intela by zwiększyć możliwości zarządzania komputerem przez zespoły IT. Sprawdza się ona głównie w rozległych środowiskach pracy, gdzie umożliwia zdalne zarządzanie oraz naprawę firmowych stacji roboczych oraz serwerów.

Panel sterowania usługi udostępniony poprzez interfejs WWW (znaleźć go można na porcie 16992 oraz 16993) umożliwia administratorowi zdalne zarządzanie systemem. Technologia AMT jest wbudowana w każdy układ Intela oraz domyślnie aktywna. Interfejs zarządzania AMT jest dostępny nawet gdy system jest wyłączony. Wystarczy, że urządzenie jest podłączone do zasilania oraz link na interfejsie sieciowym jest aktywny. AMT działa całkowicie niezależnie od systemu operacyjnego.

Jak wygląda atak

Odkrywca problemu w chipsecie Intela – Harry Sintonen z firmy F-Secure ocenił: „Atak w swej pozornej prostocie ma niesamowity potencjał niszczycielski”. Wykonanie jest faktycznie proste. Atakujący zaczyna od ponownego uruchomienia urządzenia, po czym wchodzi do menu startowego (boot menu). W typowej konfiguracji intruz zostałby zatrzymany na tym etapie, gdyż wymagane byłoby hasło i nie mógłby zrobić nic szkodliwego. W tym przypadku znaleziono jednak obejście hasła w postaci usługi AMT. Jeśli wybierzemy Intel’s Management Engine BIOS Extension (MEBx) to możliwe jest zalogowanie się poprzez domyślne hasło „admin”, które niezwykle rzadko jest zmieniane przez użytkowników. Atakujący może następnie zmienić domyślne hasło i włączyć dostęp zdalny – to wystarczy, by móc zalogować się do komputera bez dostępu fizycznego. Jedynym warunkiem powodzenia takiego ataku jest możliwość nawiązania połączenia lokalnego – atakujący musi znajdować się w tym samym segmencie sieci co komputer ofiary. Możliwe jest także włączenie dostępu bezprzewodowego, jednak wymaga to kilku kroków więcej.

źródło: https://users.wfu.edu/yipcw/lenovo/t400/intel-amt-mebx/

Wydawałoby się, że atak jest trudny do wykonania ze względu na konieczność fizycznego dostępu, jednak dla wprawnych atakujących nie stanowi to problemu. Każdy Red Team na swej drodze nie raz realizował scenariusz pokonania zabezpieczeń fizycznych, więc dla cyberprzestępców jest to normalne działanie na poziomie operacyjnym.

Badacze odkrywali już w przeszłości znaczące podatności w AMT, jednak obecne odkrycie jest ważniejsze, ponieważ:

  • jest łatwe do wykorzystania – atak może zostać przeprowadzony jedną linią „kodu”,
  • dotyka wszystkich laptopów z technologią Intela,
  • umożliwia atakującemu uzyskanie zdalnego dostępu do przejętego urządzenia.

Kilka wskazówek jak poradzić sobie z problemem

Pierwsza rada to nie zostawiać laptopa bez opieki. Smutna to rzeczywistość, gdy wracamy do momentu, kiedy bezpieczeństwo fizyczne staje się kluczowe dla bezpieczeństwa danych.

Intel w swoich zaleceniach dotyczących bezpiecznego używania AMT rekomenduje aktualizację oprogramowania AMT (chipset), i ustawienie silnego hasła dla AMT lub, jeśli to możliwe, całkowite wyłączenie AMT. Czynność taką trzeba wykonywać dla każdej maszyny osobno, co zmusi działy IT do przekonfigurowania każdego laptopa w firmie. Działy IT mogą mieć spore trudności z naprawą problemu na dużą skalę, ponieważ wymagane zmiany mogą być trudne do przeprowadzenia zdalnie. Dla rozległych, globalnych organizacji może to być bardzo duży wysiłek, jednak to jedyna metoda rozwiązania problemu AMT.

Intel zwraca także uwagę na ważny aspekt ataku – jeśli na swoim laptopie znajdziecie ustawione przez kogoś, lecz Wam nieznane hasło AMT, może to oznaczać, że atak już przeprowadzono.