Još jedan bezbednosni propust u Intel tehnologiji

Ranjivost Intelove AMT može da se iskoristi za daljinski pristup korporativnim računarima.

Još jedan bezbednosni propust u Intel tehnologiji

Nedavno je otkrivena ranjivost u Intelovoj Active Management tehnologiji (AMT) koju napadači mogu da iskoriste za daljinski pristup korporativnim računarima. Nakon otkrića Meltdown i Spectre ranjivosti procesora, Intel se suočava sa novootkrivenom ranjivošću zbog koje napadači za svega par sekundi mogu da ugroze na milione korporativnih uređaja.

Intel Active Management Technology (AMT) je hardware i firmware tehnologija za daljinsko nezavisno (out-of-band) upravljanje personalnim računarima, odnosno za njihov nadzor, održavanje, ažuriranje, nadogradnju i popravku. Implementira se na nivou čipa i ne zavisi od softvera i operativnog sistema.

Otkrivena ranjivost se relativno jednostavno može eksploatisati i ima ogroman destruktivni potencijal. To znači da napadač može da preuzme potpunu kontrolu nad nečijim poslovnim laptopom, čak iako se preduzmu sve moguće bezbednosne mere. Ovakav napad ne zahteva posebne hakerske veštine.

Ranjivost mogu eksploatisati napadači koji imaju fizički pristup pogođenom uređaju kako bi zaobišli autentifikaciju (npr. login kredencijale, BIOS i BitLocker lozinke, TPM pin kodove) i omogućili daljinski pristup za post-eksploataciju. To znači da napadači mogu pristupiti AMT BIOS ekstenziji (Intel MEBx) čak iako ste zaštitili BIOS lozinkom. Dovoljno je samo da unesu deafult lozinku ’admin’.

Scenario napada

Scenario napada izgleda ovako: napadači sa fizičkim pristupom uređaju podižu sistem komandom CTRL-P i loguju se u MEBx lozinkom ’admin’. U uobičajenoj situaciji, napadači koji uđu u boot meni se tu i zaustavljaju jer ne znaju lozinku za BIOS. Ali, u ovom slučaju, zahvaljujući AMT-u, odnosno odabirom ekstenzije MEBx u BIOS-u, mogu se ulogovati pomoću pomenute default lozinke. Promenom default lozinke, omogućavanjem daljinskog pristupa i podešavanjem AMT user opt-in kao “None“, sajber kriminalac sa brzim prstima može efektno kompromitovati uređaj.

Kada jednom dobije daljinski pristup, napadač može pristupiti sistemu sa udaljene lokacije i onda deli isti segment mreže sa žrtvom. Svako će sada pomisliti „u redu, ali za eksploataciju je potrebna fizička blizina“. Međutim, vešt napadač može relativno lako da izvede Evil Maid napad. To izgleda ovako:

Napadači identifikuju i lociraju željenu metu. Prilaze žrtvi na javnom mestu – na aerodromu, u kafiću, lobiju hotela i slično i započinju ’evil maid’ scenario. Najčešće jedan napadač odvlači pažnju žrtvi dok drugi na kratko dolazi u posed njegovog laptopa. Napad ne zahteva puno vremena, cela operacija traje manje od jednog minuta.

Mitigacija

Za sprečavanje Evil Maid napada, eksperti preporučuju da se AMT omogući samo na onim uređajima na kojima je to potrebno. Takođe, preporuka je da se koriste jake (string) lozinke za svaki uređaj. Sistem za sprovođenje procesa mora da se ažurira tako da uključi podešavanja jake lozinke za AMT ili da u potpunosti onemogući AMT (ako je moguće). IT sektor mora da proveri svaki računar koji je u upotrebi i da na njih primeni istu proceduru. Sličnu logiku prati i Intelova preporuka za bezbedno korišćenje AMT-a.

Izvor: Security Affairs