Изследователите са открили вратичка в процесорите на Intel, която позволява на атакуващ да заобиколи влизанията и да постави задни врати на лаптопи, позволявайки на противниците отдалечен достъп до лаптопи. Изследователи от F-Secure, които първи идентифицираха стратегията за атака, казват, че вратичката може да бъде използвана за по-малко от една минута.
Техниката изисква нападателите да имат физически достъп до компютрите и също така предполага, че целта не е конфигурирала системата си да защитава акаунта на Intel Management Engine BIOS Extension (MEBx) на компютри, които поддържат технологията за активно управление на Intel (AMT).
AMT е функцията за дистанционна поддръжка на Intel, използвана на Intel vPro-активирани и Xeon процесори. MEBx е разширение на BIOS, използвано за ръчно конфигуриране на услугата AMT. Когато е конфигуриран правилно, MEBx е защитен с парола.
Изследователи от F-Secure, които очертаха своите изследвания в публикация в блога си в петък, казаха, че обикновено потребителите не променят паролата за MEBx от паролата по подразбиране „admin“.
„Проблемът позволява на локален нарушител да направи заден ход на почти всеки корпоративен лаптоп за секунди, дори ако паролата за BIOS, TPM Pin, Bitlocker и идентификационните данни за вход са налице“, пише F-Secure.
Атаката започва с рестартиране на лаптопа на целта в менюто за зареждане на компютъра. Обикновено противник не би могъл да заобиколи паролата на BIOS, спирайки атаката веднага, казаха изследователи.
„В този случай обаче нападателят има заобиколно решение: AMT. Като изберат BIOS разширението на Intel Management Engine (MEBx), те могат да влязат с паролата по подразбиране „admin“, тъй като това най-вероятно не е било променено от потребителя. Чрез промяна на паролата по подразбиране, активиране на отдалечен достъп и настройка на потребителското включване на AMT на „Няма“, кибер престъпник с бързи пръсти ефективно компрометира машината“, пише F-Secure.
Това позволява на атакуващия да конфигурира целевия лаптоп за отдалечен достъп по-късно. Единственото предупреждение е, че за да може нападателят да получи отдалечен достъп до лаптопа, той трябва да може да „се вмъкне в същия мрежов сегмент с жертвата“, според изследването. „Разрешаването на безжичен достъп изисква няколко допълнителни стъпки“, казаха те.
Изследователите признават, че физическата близост, необходима за атаката, ограничава нейната потенциална заплаха. Въпреки това, изследователят на F-Secure Хари Синтонен каза, че има сценарии, при които комбинация от социално инженерство, съчетана с краткото време, необходимо за извършване на хака, може да остави някои уязвими.
„По същество единият нападател отвлича вниманието на марката, докато другият получава за кратко достъп до неговия или нейния лаптоп. Атаката не изисква много време – цялата операция може да отнеме доста по-малко от минута“, каза Синтонен.
Intel отговори на проучването на F-Secure, заявявайки публично, че не може да помогне, ако „някои производители на системи не са конфигурирали системите си да защитават Intel Management Engine BIOS Extension (MEBx).“
Джъстин Джет, директор по одит и съответствие за Plixer, фирма за анализ на мрежовия трафик, каза, че атаките, използващи този метод, могат да бъдат ефективни.
„Проблемът със сигурността на Intel AMT е много възможен. Нелоялни служители, които имат достъп до много компютри в една корпорация и които споделят същото мрежово пространство като колегите си, биха могли да се възползват от тази уязвимост“, каза Джет.
Той каза, че вратичката може да бъде затворена с актуализация на фърмуера на BIOS, за да се предотврати заобикалянето на нормалните протоколи на BIOS. „Основната цел на организациите междувременно трябва да бъде да актуализират системите, така че да не използват паролата по подразбиране, и да прегледат данните за анализ на мрежовия трафик за връзки през портовете на Intel AMT.“
F-Secure препоръчва да следвате най-добрите практики на Intel за функцията AMT (PDF) или да я деактивирате напълно.
Притесненията относно Intel Management Engine продължават от години. През май Intel коригира критична уязвимост, която датира от девет години в технологията за активно управление на компанията, която е базирана на Intel ME. Тази уязвимост може да позволи на атакуващ да получи отдалечен достъп до AMT услуги като клавиатура, видео и мишка (KVM), IDE пренасочване, сериен през LAN и настройка и редактиране на BIOS.
През ноември Intel пусна пачове за защита на милиони персонални компютри и сървъри от уязвимости, открити в неговия Management Engine, които биха могли да позволят на локални нападатели да повишат привилегии, да изпълняват произволен код, да сриват системи и да подслушват комуникации. През август Positive Technologies публикува доклад за това как правителството на САЩ може да деактивира ME, а обществеността не може.
Подозренията датират от 2012 г. относно внедряването на AMT от Intel, като някои го определят като „задна врата, активирана по подразбиране“. Докладван пропуск, идентифициран през юни 2016 г. от изследователя Деймиън Замит, твърди, че има дупка в сигурността, която може да се използва дистанционно в Intel Management Engine, която създава тайна задна врата, позволяваща на трета страна да използва неоткриваеми руткитове срещу компютри на Intel. Intel отрече подобни твърдения.
Споделете тази статия:
