F-Secure: tym razem zagrożone są laptopy biznesowe

Bezpieczeństwo Intel AMT pod znakiem zapytania – zagrożone głównie laptopy biznesowe. Brak odpowiednich zabezpieczeń w technologii Intel AMT umożliwia cyberprzestępcom uzyskanie bezpośredniego, a następnie zdalnego dostępu do niemal dowolnego laptopa biznesowego.

Firma F-Secure, znana z pakietów bezpieczeństwa, programów antywirusowych oraz z monitorowania zagrożeń w sieci zauważyła problem związany z bezpieczeństwem technologii Intel AMT.

Haker, który ma choćby przez chwilę fizyczny dostęp do urządzenia, może się do niego włamać bez wprowadzenia poświadczeń (hasło do BIOS-u, Bitlockera, PIN do TPM), aby następnie uzyskać zdalny dostęp do laptopa.

Uzyskanie dostępu do urządzenia wykorzystującego technologię Intel AMT jest zaskakująco proste, co może stanowić duże zagrożenie dla jej użytkowników. W praktyce cyberprzestępca jest w stanie sprawować pełną kontrolę nad laptopem pracownika, mimo że ten stosuje wszelkie środki bezpieczeństwa – ostrzega Harry Sintonen, starszy konsultant ds. bezpieczeństwa w F-Secure, który odkrył problem.

Jedno z większych biur F-Secure mieści się w Poznaniu.

Technologia powszechnie używana w laptopach biznesowych miała już w przeszłości problemy związane z bezpieczeństwem. Jednak łatwość, z jaką można obecnie uzyskać dostęp do urządzenia bez konieczności wprowadzenia doń choćby jednej linijki hakerskiego kodu sprawia, że ten rodzaj zagrożenia znacznie różni się od poprzednich. Problem polega na tym, że ustawienie hasła do BIOS-u, które zwykle uniemożliwia nieautoryzowanemu użytkownikowi uruchomienie urządzenia lub wprowadzenie niskopoziomowych zmian, nie zapobiega uzyskaniu nieautoryzowanego dostępu do AMT BIOS Extension (MEBx).

Haker może skonfigurować AMT tak, aby możliwa była zdalna kontrola nad urządzeniem. Aby uzyskać dostęp do laptopa, wystarczy uruchomić ponownie urządzenie i nacisnąć klawisze CTRL-P podczas rozruchu. Następnie haker może zalogować się do Intel Management Engine BIOS Extension (MEBx), używając hasła „admin”, ustawionego jako domyślne w większości biznesowych laptopów. Kolejny krok to zmiana domyślnego hasła, aktywowanie zdalnego dostępu i wyłączenie konieczności wyrażania zgody na zdalną sesję poprzez zmianę opcji AMT „user opt-in” na „none”.

Zagrożone będą głównie laptopy biznesowe. W domowych maszynach raczej nikt nie stosuje AMT (fot. Lenovo)

Od tego momentu haker może mieć zdalny dostęp do systemu przez sieć przewodową lub bezprzewodową – pod warunkiem, że jest zalogowany do tej samej sieci, z której korzysta ofiara.

Dostęp do urządzenia jest również możliwy spoza sieci za pośrednictwem zarządzanego przez cyberprzestępcę serwera CIRA.

Szybkość, z jaką można przeprowadzić atak, czyni go łatwo wykonalnym w tak zwanym scenariuszu Evil Maid.

Załóżmy sytuację, że pracownik firmy zostawia laptopa w pokoju hotelowym i wychodzi. Haker włamuje się do pokoju i zmienia ustawienia komputera w niespełna minutę, po czym może uzyskać dostęp do pulpitu, kiedy pracownik korzysta z laptopa, łącząc się z bezprzewodową siecią hotelową. Ponieważ urządzenie łączy się z firmową siecią VPN, cyberprzestępca może uzyskać dostęp do zasobów przedsiębiorstwa. Wystarczy minuta nieuwagi na lotnisku lub w kawiarni, żeby haker przejął kontrolę nad laptopem – podkreśla Harry Sintonen z F-Secure. Sintonen odkrył problem w lipcu 2017 r. i zaznacza, że inny badacz również zwrócił uwagę na to zagrożenie w niedawnym wystąpieniu.

To kolejny, po Meltdown i Spectre problem, który dotknął spraw bezpieczeństwa i z którym związany jest Intel (fot. Intel)

Problem dotyczy większości laptopów obsługujących Intel Management Engine / Intel AMT i nie jest związany z ostatnio ujawnionymi lukami Spectre oraz Meltdown.

Intel zaleca, aby producenci wymagali podawania hasła do BIOS-u w celu skonfigurowania Intel AMT. Dostępny jest dokument z zaleceniami dotyczącymi podjęcia odpowiednich środków bezpieczeństwa, przygotowany w tym celu przez firmę Intel, z grudnia 2017 r.: “Security Best Practices of Intel Active Management Technology Q&A.”

Co zrobić by zabezpieczyć się przed takim zagrożeniem? F-Secure wskazuje kilka działań, które należy zastosować:

• Nie należy zostawiać laptopa bez nadzoru, szczególnie w miejscach publicznych.

• Zalecany jest kontakt z działem IT w firmie w celu skonfigurowania urządzenia.

• W przypadku własnego urządzenia, należy ustawić silne hasło dla AMT, nawet jeśli nie planuje się korzystania z tej technologii. Jeśli dostępna jest opcja wyłączenia AMT, warto z niej skorzystać. Jeśli hasło jest już ustawione na nieznaną wartość, urządzenie mogło zostać w przeszłości zaatakowane.

• Zalecana jest zmiana procesu konfigurowania systemów tak, aby obejmował ustawianie silnego hasła AMT lub wyłączenie AMT, jeśli taka opcja jest dostępna.

• Należy skonfigurować hasło AMT we wszystkich obecnie używanych urządzeniach. Jeśli hasło jest już ustawione na nieznaną wartość, należy traktować urządzenie jako podejrzane i rozpocząć procedurę reagowania na incydent bezpieczeństwa.

Czym jest AMT? Intel AMT (Active Management Technology) to technologia wykorzystywana w milionach laptopów biznesowych na całym świecie. Jest ona funkcją procesorów Intel Core wyposażonych w technologię vPro1,2 oraz platform stacji roboczych opartych o wybrane procesory Intel Xeon. Intel AMT wykorzystuje zintegrowane z platformą funkcje oraz powszechnie stosowane aplikacje zarządzania i zabezpieczeń firm trzecich, pozwalając działowi IT lub innym dostawcom usług zarządzanych lepiej zdalnie wykrywać, naprawiać i chronić zasoby sieciowe. Intel® AMT pozwala także oszczędzić czas poprzez zdalną konserwację urządzeń i bezprzewodowe zarządzanie urządzeniami pracowników mobilnych, a także bezpieczne czyszczenie dysków i łatwe zarządzanie cyklami życia. | CHIP

Źródło: F-Secure