Tutkijat ovat löytäneet Intel-prosessoreista porsaanreiän, jonka avulla hyökkääjä voi ohittaa kirjautumiset ja sijoittaa kannettaviin tietokoneisiin takaovia, mikä mahdollistaa vastustajille etäkäytön kannettaviin tietokoneisiin. Hyökkäysstrategian ensimmäisenä tunnistaneen F-Securen tutkijat sanovat, että porsaanreikä voidaan hyödyntää alle minuutissa.
Tekniikka edellyttää, että hyökkääjillä on fyysinen pääsy tietokoneisiin, ja oletetaan myös, että kohde ei ole määrittänyt järjestelmäänsä suojaamaan Intel Management Engine BIOS Extension (MEBx) -tiliä tietokoneissa, jotka tukevat Intelin Active Management Technology (AMT) -tekniikkaa.
AMT on Intelin etäylläpitoominaisuus, jota käytetään Intel vPro- ja Xeon-suorittimissa. MEBx on BIOS-laajennus, jota käytetään AMT-palvelun manuaaliseen määrittämiseen. Kun MEBx on määritetty oikein, se on suojattu salasanalla.
F-Securen tutkijat, jotka esittelivät tutkimuksensa perjantaina blogiviestissä, sanoivat, että käyttäjät eivät yleensä vaihda MEBx-salasanaa oletussalasanasta "admin".
"Ongelman ansiosta paikallinen tunkeilija voi taata melkein minkä tahansa yrityksen kannettavan tietokoneen muutamassa sekunnissa, vaikka BIOS-salasana, TPM Pin, Bitlocker ja kirjautumistiedot ovat paikoillaan", F-Secure kirjoitti.
Hyökkäys alkaa käynnistämällä kohteen kannettava tietokone uudelleen tietokoneen käynnistysvalikkoon. Tyypillisesti vastustaja ei pystyisi ohittamaan BIOS-salasanaa ja pysäyttämään hyökkäyksen sen jäljiltä, sanoivat tutkijat.
"Tässä tapauksessa hyökkääjällä on kuitenkin kiertotapa: AMT. Valitsemalla Intelin Management Engine BIOS -laajennuksen (MEBx), he voivat kirjautua sisään käyttämällä oletussalasanaa "admin", koska käyttäjä ei todennäköisesti ole muuttanut sitä. Vaihtamalla oletussalasanaa, mahdollistamalla etäkäytön ja asettamalla AMT:n käyttäjän valinnaksi "Ei mitään", nopeasorminen verkkorikollinen on vaarantanut koneen", F-Secure kirjoitti.
Tämän avulla hyökkääjä voi määrittää kohteena olevan kannettavan tietokoneen etäkäyttöä varten myöhemmin. Yksi varoitus, jotta hyökkääjä voi käyttää kannettavaa tietokonetta etäyhteyden kautta, sen on voitava "liittyä samaan verkkosegmenttiin uhrin kanssa", tutkimuksen mukaan. "Langattoman yhteyden käyttöönotto vaatii muutaman lisävaiheen", he sanoivat.
Tutkijat myöntävät, että hyökkäyksen edellyttämä fyysinen läheisyys rajoittaa sen mahdollista uhkaa. F-Securen tutkija Harry Sintonen kuitenkin sanoi, että on skenaarioita, joissa sosiaalisen manipuloinnin sekoitus hakkeroinnin suorittamiseen tarvittavaan lyhyeen aikaan voi jättää haavoittuvia.
"Pohjimmiltaan yksi hyökkääjä häiritsee merkkiä, kun taas toinen pääsee hetkeksi käsiksi kannettavaan tietokoneeseensa. Hyökkäys ei vie paljoa aikaa – koko operaatio voi kestää reilusti alle minuutin, Sintonen sanoi.
Intel on vastannut F-Securen tutkimukseen ja ilmoittanut julkisesti, ettei se voi auttaa, jos "jotkut järjestelmävalmistajat eivät ole määrittäneet järjestelmiään suojaamaan Intel Management Engine BIOS Extension (MEBx) -laajennusta".
Justin Jett, verkkoliikenteen analytiikkayrityksen Plixerin tarkastuksesta ja vaatimustenmukaisuudesta vastaava johtaja, sanoi, että tätä menetelmää käyttävät hyökkäykset voivat olla tehokkaita.
"Intel AMT -tietoturvaongelma on erittäin mahdollista. Rogue työntekijät, joilla on pääsy useisiin yrityksen tietokoneisiin ja jotka jakavat saman verkkotilan kuin kollegansa, voivat hyödyntää tätä haavoittuvuutta", Jett sanoi.
Hän sanoi, että porsaanreikä voitaisiin sulkea BIOS-laiteohjelmistopäivityksellä, jotta estetään tavallisten BIOS-protokollien kiertäminen. "Sillä välin organisaatioiden päätavoitteena tulisi olla järjestelmien päivittäminen niin, että ne eivät käytä oletussalasanaa, ja Intel AMT -porttien kautta tapahtuvien yhteyksien verkkoliikenteen analytiikkatietojen tarkistaminen."
F-Secure suosittelee Intelin AMT-ominaisuuden (PDF) parhaiden käytäntöjen noudattamista tai sen poistamista kokonaan käytöstä.
Huolet Intel Management Enginestä ovat jatkuneet vuosia. Toukokuussa Intel korjasi yhdeksän vuotta vanhan kriittisen haavoittuvuuden yhtiön Active Management Technologyssa, joka perustuu Intel ME:hen. Tämä haavoittuvuus saattaa antaa hyökkääjälle mahdollisuuden päästä etäkäyttöön AMT-palveluihin, kuten näppäimistöön, videoon ja hiiriin (KVM), IDE-uudelleenohjaukseen, sarjaverkkoon lähiverkon kautta sekä BIOS-asennus- ja muokkauspalveluihin.
Intel julkaisi marraskuussa korjaustiedostoja, jotka suojaavat miljoonia tietokoneita ja palvelimia sen Management Enginen haavoittuvuuksilta, joiden avulla paikalliset hyökkääjät voivat nostaa käyttöoikeuksia, suorittaa mielivaltaista koodia, kaataa järjestelmiä ja salakuunnella viestintää. Elokuussa Positive Technologies julkaisi raportin siitä, kuinka Yhdysvaltain hallitus voi poistaa minut käytöstä ja yleisö ei.
Epäilyt juontavat juurensa vuonna 2012 Intelin AMT:n käyttöönotosta, ja jotkut ovat maininneet sen "takaoveksi, joka on oletusarvoisesti käytössä". Tutkija Damien Zammitin kesäkuussa 2016 havaitsema virhe väitti, että Intel Management Enginessä oli etäkäyttöinen tietoturva-aukko, joka loi salaisen takaoven, jonka avulla kolmas osapuoli voi käyttää havaitsemattomia rootkit-tiedostoja Intel-tietokoneita vastaan. Intel kiisti tällaiset väitteet.
Jaa tämä artikkeli:
