AMT, czyli kto może znienacka zacząć zarządzać Twoim laptopem
Badacze ujawnili błędy logiczne w technologii Active Management Technology procesorów Intel. „Funkcja” ta pozwala na obejście procesu logowania i uzyskanie kontroli nad urządzeniem w mniej niż 30 sekund.
Zazwyczaj ustawiając hasło blokujące dostęp do BIOS’u uniemożliwia się nieupoważnionym użytkownikom zmianę procesu bootowania. Odkryty błąd pozwala każdemu, kto ma fizyczny dostęp do podatnego urządzenia, na ominięcie potrzeby podania poświadczeń logowania: hasła użytkownika, hasła BIOS’u, BitLockera, czy kodu PIN do TPM’a. Takie zachowanie chipsetu daje możliwość dowolnej konfiguracji AMT, co docelowo prowadzi do ustanowienia zdalnego zarządzania urządzeniem.
Źródło: https://webdevolutions.blob.core.windows.net/blog/2016/10/Intel-AMT-Integrated-RemoteDesktopManager.png
AMT – co to za zwierzę
Technologia Intel Active Management Technology (AMT) została dodana do chipsetów Intela by zwiększyć możliwości zarządzania komputerem przez zespoły IT. Sprawdza się ona głównie w rozległych środowiskach pracy, gdzie umożliwia zdalne zarządzanie oraz naprawę firmowych stacji roboczych oraz serwerów.
Panel sterowania usługi udostępniony poprzez interfejs WWW (znaleźć go można na porcie 16992 oraz 16993) umożliwia administratorowi zdalne zarządzanie systemem. Technologia AMT jest wbudowana w każdy układ Intela oraz domyślnie aktywna. Interfejs zarządzania AMT jest dostępny nawet gdy system jest wyłączony. Wystarczy, że urządzenie jest podłączone do zasilania oraz link na interfejsie sieciowym jest aktywny. AMT działa całkowicie niezależnie od systemu operacyjnego.
Jak wygląda atak
Odkrywca problemu w chipsecie Intela – Harry Sintonen z firmy F-Secure ocenił: „Atak w swej pozornej prostocie ma niesamowity potencjał niszczycielski”. Wykonanie jest faktycznie proste. Atakujący zaczyna od ponownego uruchomienia urządzenia, po czym wchodzi do menu startowego (boot menu). W typowej konfiguracji intruz zostałby zatrzymany na tym etapie, gdyż wymagane byłoby hasło i nie mógłby zrobić nic szkodliwego. W tym przypadku znaleziono jednak obejście hasła w postaci usługi AMT. Jeśli wybierzemy Intel’s Management Engine BIOS Extension (MEBx) to możliwe jest zalogowanie się poprzez domyślne hasło „admin”, które niezwykle rzadko jest zmieniane przez użytkowników. Atakujący może następnie zmienić domyślne hasło i włączyć dostęp zdalny – to wystarczy, by móc zalogować się do komputera bez dostępu fizycznego. Jedynym warunkiem powodzenia takiego ataku jest możliwość nawiązania połączenia lokalnego – atakujący musi znajdować się w tym samym segmencie sieci co komputer ofiary. Możliwe jest także włączenie dostępu bezprzewodowego, jednak wymaga to kilku kroków więcej.
źródło: https://users.wfu.edu/yipcw/lenovo/t400/intel-amt-mebx/
Wydawałoby się, że atak jest trudny do wykonania ze względu na konieczność fizycznego dostępu, jednak dla wprawnych atakujących nie stanowi to problemu. Każdy Red Team na swej drodze nie raz realizował scenariusz pokonania zabezpieczeń fizycznych, więc dla cyberprzestępców jest to normalne działanie na poziomie operacyjnym.
Badacze odkrywali już w przeszłości znaczące podatności w AMT, jednak obecne odkrycie jest ważniejsze, ponieważ:
- jest łatwe do wykorzystania – atak może zostać przeprowadzony jedną linią „kodu”,
- dotyka wszystkich laptopów z technologią Intela,
- umożliwia atakującemu uzyskanie zdalnego dostępu do przejętego urządzenia.
Kilka wskazówek jak poradzić sobie z problemem
Pierwsza rada to nie zostawiać laptopa bez opieki. Smutna to rzeczywistość, gdy wracamy do momentu, kiedy bezpieczeństwo fizyczne staje się kluczowe dla bezpieczeństwa danych.
Intel w swoich zaleceniach dotyczących bezpiecznego używania AMT rekomenduje aktualizację oprogramowania AMT (chipset), i ustawienie silnego hasła dla AMT lub, jeśli to możliwe, całkowite wyłączenie AMT. Czynność taką trzeba wykonywać dla każdej maszyny osobno, co zmusi działy IT do przekonfigurowania każdego laptopa w firmie. Działy IT mogą mieć spore trudności z naprawą problemu na dużą skalę, ponieważ wymagane zmiany mogą być trudne do przeprowadzenia zdalnie. Dla rozległych, globalnych organizacji może to być bardzo duży wysiłek, jednak to jedyna metoda rozwiązania problemu AMT.
Intel zwraca także uwagę na ważny aspekt ataku – jeśli na swoim laptopie znajdziecie ustawione przez kogoś, lecz Wam nieznane hasło AMT, może to oznaczać, że atak już przeprowadzono.
Podobne wpisy
- Jak nie tworzyć swoich haseł – instrukcja prosto z Urzędu Wojewódzkiego w Poznaniu
- Uwaga na ataki na konta klientów karty Ikea Family
- Zatrzymani Polacy, którzy handlowali loginami i hasłami na ogromną skalę
- L1TF Foreshadow – atak na mechanizmy ochrony sprzętowej Intela
- Projekt cybercrypt@gov, czyli jak Policja planuje łamać hasła przestępców
Myślałem że problemy AMT dotyczą nowych chipsetów, a tu zaskoczenie… Jest tego trochę, nawet z exploitami na poziomie firmware od czasów LGA775: https://en.wikipedia.org/wiki/Intel_Active_Management_Technology#Known_vulnerabilities_and_exploits
AMT to już dość stara technologia i nie jest zaskoczeniem że w ciągu tego czasu odkryto wiele podatności. Ale pierwszy raz widzę żeby ktoś określał pierwotne zastosowanie AMT czyli m.in. zdalne zarządzanie komputerem (niektóre działy IT używają) jako problem bezpieczeństwa bo rozwiązanie dostarczane jest z domyślnym hasłem :)
>dotyka wszystkich laptopów z technologią Intela,
Tylko tych z vPro – laptopy z procesorem bez vPro lub z chipsetem który nie obsługuje vPro lecz z procesorem vPro nie posiadają AMT i używają innego ME region w BIOS, więc kod nie leży sobie wyłączony tylko po prostu go nie ma.
Bardzo dobrze, że coraz częściej pojawiają się krytyczne podatności w oprogramowaniu wbudowanym. Przez to problem jest nagłaśniany i na pewno coraz częściej będzie można usłyszeć głosy o zmianie polityki aktualizacji we wspomnianym sofcie. A to pociągnie realne działania, a to np. przez instalację oprogramowania otwartoźródłowego, z prostymi mechanizmami aktualizacji. Póki co nikt tego nie chce ruszać bo jest to na rękę służbom specjalnym i producentom (mniejsze koszty).
Świetny żart.
Nie jest to praca na rok czy dwa, ale na lata. Na szczęście pierwsze jaskółki dają nadzieję na zmianę. Nawet Google zaczyna coś tam dłubać i szukać zamienników skompromitowanych UEFI oraz IME.
https://www.phoronix.com/scan.php?page=news_item&px=Google-NERF-UEFI-Linux
Coraz wiěcej powstaje projektów, które mają oddać kontrolę nad maszynami userom.
https://pl.wikipedia.org/wiki/Coreboot
http://u-root.tk/
Nie sądzę żeby nagłaśnianie problemu coś pomogło. Taka usługa specjalnie była w standardzie włączona żeby każdy mógł ją wykożystać (każdy poinformowany). Jeśli w korporacjach była by potrzeba używania tego oprogramowania technik podczas instalwania systemu mógłby ją włączyc i skonfigurować.
Niedługo po zakupie jakiego kolwiek urządzenia łaczącego się z siecią (np. lodówka) trzeba się będzie udać do Pentestera. Zainstaluje nam najnowszy software, poinformuje o wykrytych podatnościach i zagrożeniach. No i oczywiście rególarne sprawdzanie czy przypadniem znowu nie ujawnili jakiegoś backdora.
Miki,
sprawdź swój słownik ortograficzny.
Zdecydowanie masz tam jakiegoś backdoora.
„urządzenia łaczącego się z siecią (np. lodówka)”
Serio, to fajne, że nawet lodówka może się łączyć z siecią i pewnie zamawiać dla mnie cebulę, jak już „wie”, że moja cebula się kończy lub psuje. Zastanawia mnie jednak… dokąd zmierzamy? Jak długo będziemy jeszcze potrzebni maszynom? A może AI już powstało, ale osobliwość technologiczna skoczyła tak szybko, że nikt nie zauważył? Teraz po prostu żyjemy sobie nieświadomie w wielkim ZOO, które nam zorganizowano? ;) Lodówka sama wie co zamówić, bo łóżko w nocy wykryło obniżony poziom curku i wapnia. Prysznic wie lepiej jaka temperatura wody jest idealna. Szczotka sprawdza czy odpowiednio długo myłeś zęby, kibel analizuje skład stolca. Do tego życie wg „rankingu” jakiegoś globalnego „fejsika” (chińczycy przecież już planują). Tylko po co w tym wszystkim człowiek? Odbierzemy sobie sami tzw. „wolną wolę”? :)
Ja mam zawsze jedno pytanie – dlaczego intel forsuje swoje „nowe i świetne” rozwiązanie zamiast pozostać przy starym dobrym IPMI. Niech mi ktoś to wytłumaczy.
Dobry żart. Jedną z pierwszych rzeczy, od której zaczynam pentest to właśnie skan sieci w poszukiwaniu hostów z IPMI, tutaj opisane są podatności w protokole http://www.fish2.com/ipmi/
„Technologia AMT jest wbudowana w _każdy_ układ Intela oraz domyślnie aktywna.” – a tytuł mówi o laptopach. Nie jest to dla mnie jasne – podatne są tylko laptopy, czy wszystkie układy Intela (desktop, etc.)
Poza tym, to nie rozumiem, dlaczego ta funkcja musi być domyślnie aktywna? To przecież tylko niepotrzebnie zwiększa skalę problemu w przypadku odkrycia takich podatności jak ww. Przed przeczytaniem artykułu w ogóle nie słyszałem o tej technologii, a założę się, że takich osób jest więcej. Po co domyślnie aktywować funkcję, która jest dla wielu całkiem zbędna (kto chce ten sobie włączy, działy IT firm i tak zwykle coś tam grzebią przed przekazaniem sprzętu userowi)?
Za układy Intela z funkcjonalnością vPro się dopłaca, ale nie jest tak że dotyczy to tylko laptopów. Generalnie vPro nie jest funkcja samego procesora, a jest to zestaw komponentów takich jak dodatkowy moduł vPro i wsparcie przez chipset i kartę sieciową. Równie dobrze desktopy możemy mieć ze wsparciem vPro a tym samym AMT. Do działania AMT potrzeba dodatkowej konfiguracji sieci oraz provisioningu maszyny poprzez SCS. Tam ustawia się odpowiednie konta dostępowe dla AMT, a konto MEBx nie powinno być nigdzie więcej używane (podobnie jak konta farmy sharepoint, admin SCCM itp.).
Temat jak widać kontynuowany po zeszłorocznych atrakcjach zafundowanych przez grupę PLATINIUM https://cloudblogs.microsoft.com/microsoftsecure/2017/06/07/platinum-continues-to-evolve-find-ways-to-maintain-invisibility/
Jako administrator, który na co dzień zajmuje się zarządzaniem stacjami roboczymi wyposażonymi w VPro i skonfigurowanymi pod AMT, uważam, że to troszkę słabo opierać krytyczność podatności na założeniu, że przy implementacji rozwiązania jakim jest AMT nie została wykonana zmiana standardowego hasła MEBx na stacjach roboczych podczas tzw. procesu provisioningu. To tak jakby skonfigurować domenę AD wykorzystując standardowe Microsoftowe hasła przytaczane w tutorialach, a użytkowników zachęcać do zapisywania haseł na żółtych karteczkach.
Oczywiście, zdaję sobie sprawę, że takie sytuacje mają miejsce (standardowe piny i hasła admina do produkcyjnych urządzeń, routerów, firewalli itp…), ale zwalanie w takiej sytuacji winy na Intela jest moim zdaniem co najmniej przesadzone. Jak dla mnie jest to dziura w implementacji a nie rozwiązaniu jako takim.
Zgadzam się jednak z tym co zostało powiedziane wcześniej, że sprzętowe rozwiązania jak vPro są bardzo upierdliwe w aktualizacji i utrzymaniu, oraz masowym wykonywaniu rekonfiguracji i stanowią duży wysiłek dla działów IT.
Tu nie chodzi czy proste hasło
Bo widzisz …
Większość luk polegała na tym by mieć dostęp zdalny bez hakowania
– drugie ukryte hasło serwisowe producenta
– logowanie się bez loginu i hasła
Tutaj okazuje się że jeśli nie sprawdzisz konfiguracji Bios/Uefi
to przestępca automatycznie bez hakowania dostanie dostęp
( podejrzewam, że znowu chodziło o służby specjalne )
Ale czy każdy „służbista” ma dobre intencje, tego chyba nigdy nie będziemy wiedzieć.
Jest to dziura w oprogramowaniu, bo ta funkcja powinna byc defaultowo wylaczona.
Nie do końca się zgadzam. Idąc tym tokiem myślenia, bootowanie z USB czy CD też powinno być domyślnie wyłączone. AMT samo w sobie nie jest groźne. Jeśli ktoś ma już fizyczny dostęp do komputera to i tak jest z nim w stanie zrobić masę złych rzeczy.
Jako ciekawostkę dodam, że do zresetowania konfiguracji AMT w komputerach większości producentów (w tym do resetu hasła do standardowego „admin”), wystarczy jedynie wyciągnąć baterię CMOS na 5 minut.
Michał, ale tutaj chodzi o sytuację, w której tej konfiguracji w ogóle nie było. Bo jeśli ktoś nie wykorzystuje AMT to pewnie nie zmienił hasła a i tak to ma
Jeśli ktoś nie wie że ma AMT, to prawdopodobnie nie zakłada też hasła na bios, ani co gorsza nie szyfruje dysku twardego. Jeśli dział IT zamawia komputery i wydaje je użytkownikom, to na etapie ustalania specyfikacji wybiera opcję z vPro i wie co ma z nim następnie zrobić.
Podkreślam, że hasło do MEBx to nie jest jakieś hasło superadmina które nadaje natychmiast dostęp do całej maszyny, a jedynie pozwala na skonfigurowanie AMT, np w celu uruchomienia zdalnego dostępu (do czego muszą być spełnione też pozostałe warunki – sieć, firewall itp). Ale ten zdalny dostęp pozwala „tylko” na przejecie widoku ekranu monitora, kontroli nad myszką i klawiaturą oraz rozruchem komputera. Żeby dostać się do systemu czy BIOSu, i tak trzeba znać poświadczenia użytkownika, hasło do mechanizmu szyfrującego dysk itp.
Z tego, co rozumiem, jeżeli dysk laptopa jest zaszyfrowany to atakujący nadal nie ma dostępu do danych, ponieważ nie może ominąć kroku „podaj hasło do odszyfrowania HDD” lub wyłączyć szyfrowania? Po przeczytaniu początku artykułu odniosłem wrażenie, że podatność daje możliwość ominięcia procesu uwierzytelniania/odszyfrowania dysku i uzyskania dostępu do danych.
Zgadza się. AMT umożliwia zdalny sieciowy rozruch i przejęcie KVM stacji roboczej bez udziału systemu operacyjnego. Jeśli dysk jest zaszyfrowany, to nic się nie zmieni i nagle cudownym sposobem AMT nie da nam do niego dostępu. Nawet jeśli nie mamy skonfigurowanego PINu dla odszyfrowania dysku, a klucz przechowujemy wyłącznie w TPM, to bez znajomości hasła użytkownika do systemu atakujący nic nie zdziala. Nawet jeśli przez AMT zmieni kolejności bootowania i wbije na jakiegoś linucha z ISO (AMT pozwala na przesłanie ISO przez sieć i rozruch z niego), mechanizm szyfrujacy wyłapie zmianę w konfiguracji i nie powoli na odczyt z dysku.
Znając hasło do AMT nie ma dodatkowych poświadczeń do BitLockera.
Tak, ponieważ hasło do AMT daje dostęp „jedynie” do panelu konfiguracyjnego AMT, który przechowywany jest w osobnym module na płycie głównej maszyny i nie ma nic wspólnego z dyskiem twardym. Nawet jeśli atakujący dostanie się do AMT, rekonfiguruje go na swoje potrzeby (np. uruchomi dostęp zdalny KVM) a następnie połączy się z maszyną poprzez konsole web, to otrzyma wyłącznie kontrolę nad komputerem w postaci informacji o stanie komputera, możliwości jego właczenia\wylaczenia oraz kontrole nad monitorem, myszka i klawiaturą. W momencie rozruchu i próby uruchomienia systemu operacyjnego i tak utknie na zapytaniu o PIN bitlockera (przykładowo), klucz recovery (jeśli wcześniej w BIOS zmienił jakieś ustawienia), lub – w przypadku braku szyfrowania dysku – na haśle do systemu. Czyli właściwie dostaje to samo co w przypadku gdyby pracował przy komputerze fizycznie (co i tak musiał zrobić by dostać się do AMT). Jedynym scenariuszem, w którym widzę zagrożenie, to taki, gdzie komputer z odpowiednio ustawionym AMT jest zwracany do „ofiary” ataku, i połączenie zdalne następuje w momencie kiedy jest ona zalogowana. Ale tutaj znów mamy inne przeszkody w postaci informacji pojawiającej się na monitorze użytkownika, że sesja jest przejęta przez AMT, oraz potrzeby bycia w tej samej sieci LAN (lub WiFi co jest bardziej skomplikowane) – atakujący musiałby być w środku infrastruktury ofiary, a wtedy i tak możliwości ataku bez wykorzystania VPRO jest już multum. Pominąłem aspekt Firewalla i otwarcia portów 16992/16993.
Dzisiaj AMT a jutro pewnie VPRO
Jako zwykły Kowalski, nie mający głębszej wiedzy technicznej, co mogę zrobić by się zabezpieczyć przed tą podatnością?
Zobacz czy masz w ogóle vPro. Jak masz laptopa, to na naklejce Intela oznaczającej model i generacje procesora jest dopisek vPro. Ewentualnie wejdź do bios/UEFI i szukaj Intel AMT. Jak nie ma to nie ma problemu. Jak jest, to ustaw na disabled, ustaw sobie hasło na bios i będzie ok. Niektóre modele mają też możliwość tzw permanentnego wyłączenia – bez możliwości ponownej aktywacji. Dodatkowo zablokuj ruch inbound na portach 16992 i 16993. I nie oddawaj komputera w niepowołane ręce ;)
Wszystko co powiedziałeś, byłoby w porządku, gdyby nie ostatnia uwaga o zablokowaniu tych dwóch portów nasłuchujących ruchu AMT. Blokowanie ich w systemie operacyjnym nie ma najmniejszego sensu, ponieważ AMT jest sprzętowo niezależny od całej reszty komputera, i to, że programowy firewall będzie dropił te pakiety nic nie da – ME/AMT przechwyci je sobie na samym początku „łańcuszka” zaraz po tym, gdy tylko nadejdą na wejście twojego interfejsu sieciowego. No, chyba, że mówimy o firewallu działającym na styku komputer-brama/internet
A co z Apple? Tak samo podatne?
Od kiedy domyślne hasło to błąd logiczny? Przecież to „odkrycie” nie zawiera niczego czego nie nie ma w google po wpisaniu „intel amt” …
No wlasnie.. wiec o co cale halo?
Po odkryciu Meltdown/Spectre każda negatywna wiadomość uderzająca w Intel łatwo przebija się w mediach. Nawet takie wyssane z palca „podatności” czy „błędy logiczne” są bezmyślnie przepisywane bez weryfikacji.
Proponuję zacząć od tego:
https://www.intel.pl/content/www/pl/pl/architecture-and-technology/intel-amt-vulnerability-announcement.html