January 12, 2018 |

Säkerhetsproblem i Intel AMT låter angripare kringgå login och lösen på företagsdatorer

Osäkra grundinställningar i Intel AMT låter en angripare helt förbigå användar- och BIOS-lösenord, och Bitlocker- samt TPM PIN-koder för att skapa en bakdörr in i så gott som alla bärbara företagsdatorer inom loppet av sekunder. Helsingfors – 12 januari, 2018: F-secure rapporterar ett säkerhetsproblem som påverkar de flesta affärslaptops idag, och som låter en angripare […]

Osäkra grundinställningar i Intel AMT låter en angripare helt förbigå användar- och BIOS-lösenord, och Bitlocker- samt TPM PIN-koder för att skapa en bakdörr in i så gott som alla bärbara företagsdatorer inom loppet av sekunder.

Helsingfors – 12 januari, 2018: F-secure rapporterar ett säkerhetsproblem som påverkar de flesta affärslaptops idag, och som låter en angripare med fysisk tillgång till hårdvaran att skapa en bakdörr in på enheten på mindre än 30 sekunder.  Problemet innebär att en angripare kan kringgå krav på inloggningsuppgifter, däribland BIOS-lösenord och PIN-koder för Bitlocker och TPM, och sätta upp framtida tillgång till den drabbade enheten på distans. Problemet är en del av Intels Active Management Technology (AMT) och kan potentiellt påverka miljoner bärbara datorer världen över.

Säkerhetsproblemet ”är närmast läskigt enkelt att utnyttja, och har en otroligt destruktiv potential”, säger Harry Sintonen, som analyserat problemet i sin roll som Senior Security Consultant på F-Secure. ”I praktiken kan den utnyttjas för att ge en angripare fullständig kontroll över en individs jobbdator, oavsett vilka säkerhetsfunktioner som finns på enheten.”

Intel AMT är en lösning för distansövervakning och underhåll av persondatorer för affärsbruk som togs fram så att IT-avdelningar eller tjänsteleverantörer kunde få bättre kontroll över de enheter som används i verksamheten. Det har identifierat svagheter gällande säkerhet i tekniken tidigare, men inget har varit så enkelt att utnyttja som detta: Problemet kan exploateras inom loppet av sekunder, och det krävs inte en enda rad kod för att göra det.

Nyckeln bakom problemet är att ett BIOS-lösenord, som i normala fall förhindrar en icke auktoriserad användare från att starta upp datorn eller göra lågnivå-förändringar på den, inte förhindrar tillgång till AMT BIOS. Det gör det möjligt för en angripare att konfigurera AMT för distansåtkomst.

Allt en angripare behöver göra är att boota upp maskinen och trycka in CTRL-P under uppstarten. Angriparen kan då logga in i Intel Management Engine BIOS Extension (MEBx) genom att använda standardlösenordet ”admin”, eftersom detta standardlösenord sannolikt inte har ändrats på de flesta AMT-försedda datorer. Angriparen kan därefter byta ut lösenordet, ändra inställningarna för distansåtkomst och avaktivera AMT:s säkerhetsfunktioner. Angriparen kan därmed få distansåtkomst till systemet både via trådlösa och trådade nätverk, förutsatt att de även har tillgång till samma nätverksinfrastruktur som offret. Tillgång till den angripna datorn kan också uppnås från platser utanför nätverket genom att angriparen använder sig av en så kallad CIRA-server.

Även om det första steget av attacken kräver fysisk tillgång till datorn, förklarar Harry Sintonen att den korta tid som detta steg tar att utföra gör det enkelt att exploatera i exempelvis ett ”onda städaren”-scenario.

”Du lämnar din laptop på hotellrummet och går ut för att ta en drink. Angriparen bryter sig in i rummet och konfigurerar om din laptop på mindre än en minut, och nu kan vederbörande få tillgång till skrivbordet nästa gång du kopplar upp dig mot hotellets nätverk. Och eftersom datorn kopplar upp sig mot företagets VPN, kan man också komma åt företagsresurser.”

Sintonen understryker att det egentligen räcker med att distrahera offret i någon minut, exempelvis på en flygplats eller ett café, för att kunna genomföra angreppet.

Sintonen snubblade över upptäckten i juli 2017 och har noterat att en annan forskare* också nämnt det i en föreläsning nyligen. Därför är det särskilt viktigt att verksamheter är medvetna om det osäkra default-lösenordet så att de kan skydda sig innan cyberkriminella börjar använda sig av det. En liknande sårbarhet har tidigare identifierats av CERT-Bund, men i det fallet handlar det om USB-provisionering.

Problemet påverkar de flesta, om inte alla, bärbara datorer med stöd för Intel Management Engine / Intel AMT. Det finns ingen koppling mellan detta och de omdiskuterade sårbarheterna Spectre och Meltdown.

Intel rekommenderar enhetstillverkare att avkräva användare BIOS-lösenordet för att få tillgång till Intel AMT, men det är en rekommendation som många tillverkare inte följer. Intels råd kring ämnet, från december 2017, finns i följande dokument: “Security Best Practices of Intel Active Management Technology Q&A.”

 

Rekommendationer

 

Till slutanvändare

  • Lämna aldrig din bärbara dator oövervakad på en osäker plats.
  • Kontakta verksamhetens servicedesk för att hantera enheten.
  • Om du använder en AMT-försedd enhet för privat bruk, byt AMT-lösenordet till ett starkt eget lösenord även om du inte planerar att använda verktyget. Om datorn erbjuder möjlighet att helt koppla ur AMT, gör det. Om lösenordet redan ändrats från det förinställda till något okänt så kan det vara ett tecken på att datorn redan utsatts för intrång.

Till verksamheter

  • Förändra processen för systemprovisionering så att den innehåller ett moment där AMT-lösenordet byts ut till ett unikt och starkt lösenord. Stäng av AMT om möjligheten finns.
  • Gå igenom alla enheter som är i drift i verksamheten och byt AMT-lösenord. Om lösenordet redan ändrats kan det vara ett tecken på att en dator redan utsatts för intrång och således måste incidenthanteras.

 

*Parth Shukla, Google, October 2017 “Intel AMT: Using & Abusing the Ghost in the Machine

 

 

Om F-Secure

Ingen kan cybersäkerhet som F-Secure. Under de senaste tre decennierna har F-Secure varit ledande inom innovation, samtidigt som man skyddar tiotusentals företag och miljoner människor. Företagets erfarenhet inom klientskydd och upptäckt och hantering av incidenter saknar motstycke och F-Secure skyddar företag och konsumenter från allt från avancerade cyberattacker och dataintrång till utspridda ransomware-infektioner. F-Secure erbjuder sofistikerad teknologi som kombinerar styrkan hos maskininlärning med den mänskliga expertis som finns i deras säkerhetslabb som uppmärksammats världen över i ett koncept de kallar Live Security. F-Secures säkerhetsexperter har deltagit i fler europeiska utredningar av cybersäkerhetsbrott än något annat företag och deras produkter säljs över hela världen av fler än 200 bredbandsleverantörer och mobiloperatörer samt tusentals återförsäljare.

Grundat 1988, F-Secure är listat på NASDAQ OMX Helsinki Ltd.

f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Presskontakt
Adam Erlandsson
Cohn & Wolfe för F-Secure
+46 735 18 24 80
adam.erlandsson@cohnwolfe.com

Senaste händelser
Pressarkiv
Välj år

Senaste pressmeddelandena

September 13, 2018

Sårbarhet i fast programvara hos moderna datorer avslöjar krypteringsnycklar

Experter anser att dagens säkerhetsåtgärder inte räcker till för att skydda data i förlorade eller stulna bärbara datorer

May 17, 2018

F-Secure kombinerar det bästa av människa och maskin i ny säkerhetslösning

I nya Rapid Detection & Response har F-Secure kombinerat de fördelar artificiell intelligens har att erbjuda med mänsklig expertis för att ge företag och organisationer viktiga fördelar i kampen mot riktade attacker.

April 25, 2018

Forskare från F-Secure: Huvudnycklar till hotell kan skapas ur “tomma intet”

Forskare har upptäckt att elektroniska nyckelkort hos globala hotellkedjor och andra hotell världen över kan hackas för att få tillgång till vilket rum som helst på anläggningen.

April 9, 2018

F-Secure lär ut digitalt självförsvar till demokratikämpar på Defenders’ Days

Tillsammans med Civil Rights Defenders ska F-Secures säkerhetsexperter dela med sig av konkreta tips och handfasta råd under årets Defenders’ Days.

%d bloggers like this: