Найден «немыслимо простой» способ взлома ноутбуков на процессорах Intel

Intel, AMT, F-Secure, взлом, ноутбука, простой, способ

Проблемы в технологии Intel Active Management Technology (AMT) позволяют обходить все средства авторизации в компьютерную систему при наличии физического доступа к конкретной машине. Исправить проблему, по-видимому, будет весьма непросто.

«Немыслимо простой» способ взлома

Intel, AMT, F-Secure, взлом, ноутбука, простой, способ

Исследователи фирмы F-Secure выявили серьезную проблему с технологией Intel Active Management Technology, благодаря которой злоумышленники могут обходить локальные средства авторизации на ноутбуках на базе процессоров Intel. Эксперты отмечают, что для эксплуатации этой уязвимости достаточно полминуты и никаких специализированных знаний не потребуется.

Intel, AMT, F-Secure, взлом, ноутбука, простой, способ

Злоумышленнику потребуется физический доступ к интересующему его лэптопу. В процессе перезагрузки злоумышленнику достаточно зажать CTRL+P и войти в консоль управления Intel Management Engine BIOS Extension (MEBx). Как выясняется, в MEBx существует предустановленный пароль «admin», которого достаточно, чтобы поменять предустановленный пароль к BIOS, настроить удаленный доступ и выключить авторизацию AMT полностью.

Intel, AMT, F-Secure, взлом, ноутбука, простой, способ

Дальше злоумышленники могут удаленно проникать в компьютер жертвы через локальную сеть или из-за ее пределов с помощью CIRA-сервера (сервера удаленного доступа по запросу клиента).

Intel, AMT, F-Secure, взлом, ноутбука, простой, способ

«Атака до немыслимого проста в исполнении, но при этом обладает колоссальным деструктивным потенциалом, — заявил старший консультант по безопасности F-Secure Гарри Синтонен. На практике злоумышленник через локальную сеть может получить полный контроль над рабочим ноутбуком жертвы, какими бы обширными ни были принятые меры безопасности».

Intel, AMT, F-Secure, взлом, ноутбука, простой, способ

Ключевое ограничение — это необходимость физического доступа к атакуемому ноутбуку. Однако достаточно весьма простой операции, где один из злоумышленников отвлекает владельца ноутбука, а другой перенастраивает его, чтобы обеспечить "входную точку" в корпоративную сеть.

Низовые настройки

Исследователи отмечают, что пароль к MEBx на корпоративных ноутбуках меняют очень редко, то есть в действительности миллионы систем могут быть под угрозой. От эксплуатации этой уязвимости и ее последствий не спасают ни пароль к BIOS, ни идентификационный номер Trusted Platform Module (TPM PIN), ни Bitlocker.

Intel, AMT, F-Secure, взлом, ноутбука, простой, способ

«Intel AMT — это самые низкоуровневые настройки. И если существует возможность таким простым способом их менять, то все прочие меры безопасности оказываются бесполезными, — говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Единственный способ предотвратить эксплуатацию этой уязвимости — это специально выставлять сложный пароль к MEBx или настраивать это расширение так, чтобы оно в обязательном порядке требовало текущий пароль к BIOS. Intel выпустил соответствующие рекомендации еще несколько лет назад, однако далеко не все производители им следуют».

Intel, AMT, F-Secure, взлом, ноутбука, простой, способ

Специалисты F-Secure отмечают, что справиться с проблемами в AMT для крупных корпораций может оказаться весьма непросто: в то время как сама технология AMT разрабатывалась для удобства удаленного администрирования, удаленно внести исправления в ее собственные настройки иногда оказывается непростой задачей.

Intel, AMT, F-Secure, взлом, ноутбука, простой, способ

В F-Secure рекомендуют «удаленно установить количество затронутых активов и попытаться сузить количество пунктов в списке до управляемых значений». Кроме того, указывается в публикации фирмы, те организации, которые используют среды Microsoft и устройства, объединенные в домены, могут использовать преимущества System Center Configuration Manager для работы с AMT.

Intel, AMT, F-Secure, взлом, ноутбука, простой, способ

И если обнаруживается, что где-то пароль к AMT сменился без ведома корпоративных администраторов, следует немедленно начинать расследование возможного инцидента.

Что такое Active Management Technology

Технология Active Management Technology обеспечивает функции удаленного администрирования для процессоров с поддержкой технологий Intel vPro. Она предоставляет удаленный и внеполосный (по независимому вспомогательному каналу TCP/IP) доступ для управления настройками и безопасностью компьютера независимо от состояния питания и состояния ОС.

Intel, AMT, F-Secure, взлом, ноутбука, простой, способ

Разного рода уязвимости находились в AMT и раньше, но в данном случае речь идет о небезопасных заводских настройках и неследовании рекомендациям Intel о безопасных настройках и применении AMT.

Исьлчник