F-Secure: tym razem zagro┼╝one s─ů laptopy biznesowe

Bezpiecze┼ästwo Intel AMT pod znakiem zapytania ÔÇô zagro┼╝one g┼é├│wnie laptopy biznesowe. Brak odpowiednich zabezpiecze┼ä w technologii Intel AMT umo┼╝liwia cyberprzest─Öpcom uzyskanie bezpo┼Ťredniego, a nast─Öpnie zdalnego dost─Öpu do niemal dowolnego laptopa biznesowego.

Firma F-Secure, znana z pakiet├│w bezpiecze┼ästwa, program├│w antywirusowych oraz z monitorowania zagro┼╝e┼ä w sieci zauwa┼╝y┼éa problem zwi─ůzany z bezpiecze┼ästwem technologii Intel AMT.

Haker, kt├│ry ma cho─çby przez chwil─Ö fizyczny dost─Öp do urz─ůdzenia, mo┼╝e si─Ö do niego w┼éama─ç bez wprowadzenia po┼Ťwiadcze┼ä (has┼éo do BIOS-u, Bitlockera, PIN do TPM), aby nast─Öpnie uzyska─ç zdalny dost─Öp do laptopa.

ÔÇô Uzyskanie dost─Öpu do urz─ůdzenia wykorzystuj─ůcego technologi─Ö Intel AMT jest zaskakuj─ůco proste, co mo┼╝e stanowi─ç du┼╝e zagro┼╝enie dla jej u┼╝ytkownik├│w. W praktyce cyberprzest─Öpca jest w stanie sprawowa─ç pe┼én─ů kontrol─Ö nad laptopem pracownika, mimo ┼╝e ten stosuje wszelkie ┼Ťrodki bezpiecze┼ästwa ÔÇô ostrzega Harry Sintonen, starszy konsultant ds. bezpiecze┼ästwa w F-Secure, kt├│ry odkry┼é problem.

Jedno z wi─Ökszych biur F-Secure mie┼Ťci si─Ö w Poznaniu.

Technologia powszechnie u┼╝ywana w laptopach biznesowych mia┼éa ju┼╝ w przesz┼éo┼Ťci problemy zwi─ůzane z bezpiecze┼ästwem. Jednak ┼éatwo┼Ť─ç, z jak─ů mo┼╝na obecnie uzyska─ç dost─Öp do urz─ůdzenia bez konieczno┼Ťci wprowadzenia do┼ä cho─çby jednej linijki hakerskiego kodu sprawia, ┼╝e ten rodzaj zagro┼╝enia znacznie r├│┼╝ni si─Ö od poprzednich. Problem polega na tym, ┼╝e ustawienie has┼éa do BIOS-u, kt├│re zwykle uniemo┼╝liwia nieautoryzowanemu u┼╝ytkownikowi uruchomienie urz─ůdzenia lub wprowadzenie niskopoziomowych zmian, nie zapobiega uzyskaniu nieautoryzowanego dost─Öpu do AMT BIOS Extension (MEBx).

Haker mo┼╝e skonfigurowa─ç AMT tak, aby mo┼╝liwa by┼éa zdalna kontrola nad urz─ůdzeniem. Aby uzyska─ç dost─Öp do laptopa, wystarczy uruchomi─ç ponownie urz─ůdzenie i nacisn─ů─ç klawisze CTRL-P podczas rozruchu. Nast─Öpnie haker mo┼╝e zalogowa─ç si─Ö do Intel Management Engine BIOS Extension (MEBx), u┼╝ywaj─ůc has┼éa ÔÇ×adminÔÇŁ, ustawionego jako domy┼Ťlne w wi─Ökszo┼Ťci biznesowych laptop├│w. Kolejny krok to zmiana domy┼Ťlnego has┼éa, aktywowanie zdalnego dost─Öpu i wy┼é─ůczenie konieczno┼Ťci wyra┼╝ania zgody na zdaln─ů sesj─Ö poprzez zmian─Ö opcji AMT „user opt-in” na „none”.

Zagro┼╝one b─Öd─ů g┼é├│wnie laptopy biznesowe. W domowych maszynach raczej nikt nie stosuje AMT (fot. Lenovo)

Od tego momentu haker mo┼╝e mie─ç zdalny dost─Öp do systemu przez sie─ç przewodow─ů lub bezprzewodow─ů ÔÇô pod warunkiem, ┼╝e jest zalogowany do tej samej sieci, z kt├│rej korzysta ofiara.

Dost─Öp do urz─ůdzenia jest r├│wnie┼╝ mo┼╝liwy spoza sieci za po┼Ťrednictwem zarz─ůdzanego przez cyberprzest─Öpc─Ö serwera CIRA.

Szybko┼Ť─ç, z jak─ů mo┼╝na przeprowadzi─ç atak, czyni go ┼éatwo wykonalnym w tak zwanym scenariuszu Evil Maid.

ÔÇô Za┼é├│┼╝my sytuacj─Ö, ┼╝e pracownik firmy zostawia laptopa w pokoju hotelowym i wychodzi. Haker w┼éamuje si─Ö do pokoju i zmienia ustawienia komputera w niespe┼éna minut─Ö, po czym mo┼╝e uzyska─ç dost─Öp do pulpitu, kiedy pracownik korzysta z laptopa, ┼é─ůcz─ůc si─Ö z bezprzewodow─ů sieci─ů hotelow─ů. Poniewa┼╝ urz─ůdzenie ┼é─ůczy si─Ö z firmow─ů sieci─ů VPN, cyberprzest─Öpca mo┼╝e uzyska─ç dost─Öp do zasob├│w przedsi─Öbiorstwa. Wystarczy minuta nieuwagi na lotnisku lub w kawiarni, ┼╝eby haker przej─ů┼é kontrol─Ö nad laptopem ÔÇô podkre┼Ťla Harry Sintonen z F-Secure. Sintonen odkry┼é problem w lipcu 2017 r. i zaznacza, ┼╝e inny badacz r├│wnie┼╝ zwr├│ci┼é uwag─Ö na to zagro┼╝enie w niedawnym wyst─ůpieniu.

To kolejny, po Meltdown i Spectre problem, kt├│ry dotkn─ů┼é spraw bezpiecze┼ästwa i z kt├│rym zwi─ůzany jest Intel (fot. Intel)

Problem dotyczy wi─Ökszo┼Ťci laptop├│w obs┼éuguj─ůcych Intel Management Engine / Intel AMT i nie jest zwi─ůzany z ostatnio ujawnionymi lukami Spectre oraz Meltdown.

Intel zaleca, aby producenci wymagali podawania has┼éa do BIOS-u w celu skonfigurowania Intel AMT. Dost─Öpny jest dokument z zaleceniami dotycz─ůcymi podj─Öcia odpowiednich ┼Ťrodk├│w bezpiecze┼ästwa, przygotowany w tym celu przez firm─Ö Intel, z grudnia 2017 r.: ÔÇťSecurity Best Practices of Intel Active Management Technology Q&A.ÔÇŁ

Co zrobić by zabezpieczyć się przed takim zagrożeniem? F-Secure wskazuje kilka działań, które należy zastosować:

ÔÇó Nie nale┼╝y zostawia─ç laptopa bez nadzoru, szczeg├│lnie w miejscach publicznych.

ÔÇó Zalecany jest kontakt z dzia┼éem IT w firmie w celu skonfigurowania urz─ůdzenia.

ÔÇó W przypadku w┼éasnego urz─ůdzenia, nale┼╝y ustawi─ç silne has┼éo dla AMT, nawet je┼Ťli nie planuje si─Ö korzystania z tej technologii. Je┼Ťli dost─Öpna jest opcja wy┼é─ůczenia AMT, warto z niej skorzysta─ç. Je┼Ťli has┼éo jest ju┼╝ ustawione na nieznan─ů warto┼Ť─ç, urz─ůdzenie mog┼éo zosta─ç w przesz┼éo┼Ťci zaatakowane.

ÔÇó Zalecana jest zmiana procesu konfigurowania system├│w tak, aby obejmowa┼é ustawianie silnego has┼éa AMT lub wy┼é─ůczenie AMT, je┼Ťli taka opcja jest dost─Öpna.

ÔÇó Nale┼╝y skonfigurowa─ç has┼éo AMT we wszystkich obecnie u┼╝ywanych urz─ůdzeniach. Je┼Ťli has┼éo jest ju┼╝ ustawione na nieznan─ů warto┼Ť─ç, nale┼╝y traktowa─ç urz─ůdzenie jako podejrzane i rozpocz─ů─ç procedur─Ö reagowania na incydent bezpiecze┼ästwa.

Czym jest AMT? Intel AMT (Active Management Technology) to technologia wykorzystywana w milionach laptop├│w biznesowych na ca┼éym ┼Ťwiecie.┬áJest ona funkcj─ů procesor├│w Intel Core wyposa┼╝onych w technologi─Ö vPro1,2 oraz platform stacji roboczych opartych o wybrane procesory Intel Xeon. Intel AMT wykorzystuje zintegrowane z platform─ů funkcje oraz powszechnie stosowane aplikacje zarz─ůdzania i zabezpiecze┼ä firm trzecich, pozwalaj─ůc dzia┼éowi IT lub innym dostawcom us┼éug zarz─ůdzanych lepiej zdalnie wykrywa─ç, naprawia─ç i chroni─ç zasoby sieciowe. Intel┬« AMT pozwala tak┼╝e oszcz─Ödzi─ç czas poprzez zdaln─ů konserwacj─Ö urz─ůdze┼ä i bezprzewodowe zarz─ůdzanie urz─ůdzeniami pracownik├│w mobilnych, a tak┼╝e bezpieczne czyszczenie dysk├│w i ┼éatwe zarz─ůdzanie cyklami ┼╝ycia. | CHIP

Źródło: F-Secure