Tack för att du registrerar dig, en medlem av Global PR-teamet kommer att kontakta dig inom kort.
Helsingfors – 12 januari, 2018: F-secure rapporterar ett säkerhetsproblem som påverkar de flesta affärslaptops idag, och som låter en angripare med fysisk tillgång till hårdvaran att skapa en bakdörr in på enheten på mindre än 30 sekunder. Problemet innebär att en angripare kan kringgå krav på inloggningsuppgifter, däribland BIOS-lösenord och PIN-koder för Bitlocker och TPM, och sätta upp framtida tillgång till den drabbade enheten på distans. Problemet är en del av Intels Active Management Technology (AMT) och kan potentiellt påverka miljoner bärbara datorer världen över.
Säkerhetsproblemet ”är närmast läskigt enkelt att utnyttja, och har en otroligt destruktiv potential”, säger Harry Sintonen, som analyserat problemet i sin roll som Senior Security Consultant på F-Secure. ”I praktiken kan den utnyttjas för att ge en angripare fullständig kontroll över en individs jobbdator, oavsett vilka säkerhetsfunktioner som finns på enheten.”
Intel AMT är en lösning för distansövervakning och underhåll av persondatorer för affärsbruk som togs fram så att IT-avdelningar eller tjänsteleverantörer kunde få bättre kontroll över de enheter som används i verksamheten. Det har identifierat svagheter gällande säkerhet i tekniken tidigare, men inget har varit så enkelt att utnyttja som detta: Problemet kan exploateras inom loppet av sekunder, och det krävs inte en enda rad kod för att göra det.
Nyckeln bakom problemet är att ett BIOS-lösenord, som i normala fall förhindrar en icke auktoriserad användare från att starta upp datorn eller göra lågnivå-förändringar på den, inte förhindrar tillgång till AMT BIOS. Det gör det möjligt för en angripare att konfigurera AMT för distansåtkomst.
Allt en angripare behöver göra är att boota upp maskinen och trycka in CTRL-P under uppstarten. Angriparen kan då logga in i Intel Management Engine BIOS Extension (MEBx) genom att använda standardlösenordet ”admin”, eftersom detta standardlösenord sannolikt inte har ändrats på de flesta AMT-försedda datorer. Angriparen kan därefter byta ut lösenordet, ändra inställningarna för distansåtkomst och avaktivera AMT:s säkerhetsfunktioner. Angriparen kan därmed få distansåtkomst till systemet både via trådlösa och trådade nätverk, förutsatt att de även har tillgång till samma nätverksinfrastruktur som offret. Tillgång till den angripna datorn kan också uppnås från platser utanför nätverket genom att angriparen använder sig av en så kallad CIRA-server.
Även om det första steget av attacken kräver fysisk tillgång till datorn, förklarar Harry Sintonen att den korta tid som detta steg tar att utföra gör det enkelt att exploatera i exempelvis ett ”onda städaren”-scenario.
”Du lämnar din laptop på hotellrummet och går ut för att ta en drink. Angriparen bryter sig in i rummet och konfigurerar om din laptop på mindre än en minut, och nu kan vederbörande få tillgång till skrivbordet nästa gång du kopplar upp dig mot hotellets nätverk. Och eftersom datorn kopplar upp sig mot företagets VPN, kan man också komma åt företagsresurser.”
Sintonen understryker att det egentligen räcker med att distrahera offret i någon minut, exempelvis på en flygplats eller ett café, för att kunna genomföra angreppet.
Sintonen snubblade över upptäckten i juli 2017 och har noterat att en annan forskare* också nämnt det i en föreläsning nyligen. Därför är det särskilt viktigt att verksamheter är medvetna om det osäkra default-lösenordet så att de kan skydda sig innan cyberkriminella börjar använda sig av det. En liknande sårbarhet har tidigare identifierats av CERT-Bund, men i det fallet handlar det om USB-provisionering.
Problemet påverkar de flesta, om inte alla, bärbara datorer med stöd för Intel Management Engine / Intel AMT. Det finns ingen koppling mellan detta och de omdiskuterade sårbarheterna Spectre och Meltdown.
Intel rekommenderar enhetstillverkare att avkräva användare BIOS-lösenordet för att få tillgång till Intel AMT, men det är en rekommendation som många tillverkare inte följer. Intels råd kring ämnet, från december 2017, finns i följande dokument: “Security Best Practices of Intel Active Management Technology Q&A.”
Rekommendationer
Till slutanvändare
*Parth Shukla, Google, October 2017 “Intel AMT: Using & Abusing the Ghost in the Machine”
Ingen kan cybersäkerhet som F-Secure. Under de senaste tre decennierna har F-Secure varit ledande inom innovation, samtidigt som man skyddar tiotusentals företag och miljoner människor. Företagets erfarenhet inom klientskydd och upptäckt och hantering av incidenter saknar motstycke och F-Secure skyddar företag och konsumenter från allt från avancerade cyberattacker och dataintrång till utspridda ransomware-infektioner. F-Secure erbjuder sofistikerad teknologi som kombinerar styrkan hos maskininlärning med den mänskliga expertis som finns i deras säkerhetslabb som uppmärksammats världen över i ett koncept de kallar Live Security. F-Secures säkerhetsexperter har deltagit i fler europeiska utredningar av cybersäkerhetsbrott än något annat företag och deras produkter säljs över hela världen av fler än 200 bredbandsleverantörer och mobiloperatörer samt tusentals återförsäljare.
Grundat 1988, F-Secure är listat på NASDAQ OMX Helsinki Ltd.
Beställ media information från F-Secure
Bekanta dig med våra nyheter per år
Bekanta dig med våra nyheter per kategori