Säkerhetsproblem i Intel AMT låter angripare kringgå login och lösen på företagsdatorer

Helsingfors – 12 januari, 2018: F-secure rapporterar ett säkerhetsproblem som påverkar de flesta affärslaptops idag, och som låter en angripare med fysisk tillgång till hårdvaran att skapa en bakdörr in på enheten på mindre än 30 sekunder.  Problemet innebär att en angripare kan kringgå krav på inloggningsuppgifter, däribland BIOS-lösenord och PIN-koder för Bitlocker och TPM, och sätta upp framtida tillgång till den drabbade enheten på distans. Problemet är en del av Intels Active Management Technology (AMT) och kan potentiellt påverka miljoner bärbara datorer världen över.

Säkerhetsproblemet ”är närmast läskigt enkelt att utnyttja, och har en otroligt destruktiv potential”, säger Harry Sintonen, som analyserat problemet i sin roll som Senior Security Consultant på F-Secure. ”I praktiken kan den utnyttjas för att ge en angripare fullständig kontroll över en individs jobbdator, oavsett vilka säkerhetsfunktioner som finns på enheten.”

Intel AMT är en lösning för distansövervakning och underhåll av persondatorer för affärsbruk som togs fram så att IT-avdelningar eller tjänsteleverantörer kunde få bättre kontroll över de enheter som används i verksamheten. Det har identifierat svagheter gällande säkerhet i tekniken tidigare, men inget har varit så enkelt att utnyttja som detta: Problemet kan exploateras inom loppet av sekunder, och det krävs inte en enda rad kod för att göra det.

Nyckeln bakom problemet är att ett BIOS-lösenord, som i normala fall förhindrar en icke auktoriserad användare från att starta upp datorn eller göra lågnivå-förändringar på den, inte förhindrar tillgång till AMT BIOS. Det gör det möjligt för en angripare att konfigurera AMT för distansåtkomst.

Allt en angripare behöver göra är att boota upp maskinen och trycka in CTRL-P under uppstarten. Angriparen kan då logga in i Intel Management Engine BIOS Extension (MEBx) genom att använda standardlösenordet ”admin”, eftersom detta standardlösenord sannolikt inte har ändrats på de flesta AMT-försedda datorer. Angriparen kan därefter byta ut lösenordet, ändra inställningarna för distansåtkomst och avaktivera AMT:s säkerhetsfunktioner. Angriparen kan därmed få distansåtkomst till systemet både via trådlösa och trådade nätverk, förutsatt att de även har tillgång till samma nätverksinfrastruktur som offret. Tillgång till den angripna datorn kan också uppnås från platser utanför nätverket genom att angriparen använder sig av en så kallad CIRA-server.

Även om det första steget av attacken kräver fysisk tillgång till datorn, förklarar Harry Sintonen att den korta tid som detta steg tar att utföra gör det enkelt att exploatera i exempelvis ett ”onda städaren”-scenario.

”Du lämnar din laptop på hotellrummet och går ut för att ta en drink. Angriparen bryter sig in i rummet och konfigurerar om din laptop på mindre än en minut, och nu kan vederbörande få tillgång till skrivbordet nästa gång du kopplar upp dig mot hotellets nätverk. Och eftersom datorn kopplar upp sig mot företagets VPN, kan man också komma åt företagsresurser.”

Sintonen understryker att det egentligen räcker med att distrahera offret i någon minut, exempelvis på en flygplats eller ett café, för att kunna genomföra angreppet.

Sintonen snubblade över upptäckten i juli 2017 och har noterat att en annan forskare* också nämnt det i en föreläsning nyligen. Därför är det särskilt viktigt att verksamheter är medvetna om det osäkra default-lösenordet så att de kan skydda sig innan cyberkriminella börjar använda sig av det. En liknande sårbarhet har tidigare identifierats av CERT-Bund, men i det fallet handlar det om USB-provisionering.

Problemet påverkar de flesta, om inte alla, bärbara datorer med stöd för Intel Management Engine / Intel AMT. Det finns ingen koppling mellan detta och de omdiskuterade sårbarheterna Spectre och Meltdown.

Intel rekommenderar enhetstillverkare att avkräva användare BIOS-lösenordet för att få tillgång till Intel AMT, men det är en rekommendation som många tillverkare inte följer. Intels råd kring ämnet, från december 2017, finns i följande dokument: “Security Best Practices of Intel Active Management Technology Q&A.”

Rekommendationer

Till slutanvändare

• Lämna aldrig din bärbara dator oövervakad på en osäker plats.
• Kontakta verksamhetens servicedesk för att hantera enheten.
• Om du använder en AMT-försedd enhet för privat bruk, byt AMT-lösenordet till ett starkt eget lösenord även om du inte planerar att använda verktyget. Om datorn erbjuder möjlighet att helt koppla ur AMT, gör det. Om lösenordet redan ändrats från det förinställda till något okänt så kan det vara ett tecken på att datorn redan utsatts för intrång.

• Förändra processen för systemprovisionering så att den innehåller ett moment där AMT-lösenordet byts ut till ett unikt och starkt lösenord. Stäng av AMT om möjligheten finns.
• Gå igenom alla enheter som är i drift i verksamheten och byt AMT-lösenord. Om lösenordet redan ändrats kan det vara ett tecken på att en dator redan utsatts för intrång och således måste incidenthanteras.

*Parth Shukla, Google, October 2017 “Intel AMT: Using & Abusing the Ghost in the Machine”