最新研究:英特爾AMT安全鎖可被繞過,影響百萬筆記本電腦
更新
英特爾主動管理技術(AMT)中的安全漏洞可能會被不法分子利用,以繞過筆記本電腦上的登錄提示。
根據安全機構F-Secure的說法,英特爾?AMT中的默認設置允許入侵者徹底繞過用戶和BIOS密碼以及TPM和Bitlocker PIN,幾乎可以在30秒左右的時間內闖入任何企業筆記本電腦。此漏洞利用需要物理訪問目標計算機,與最近的Spectre和Meltdown漏洞無關,影響全球數百萬台筆記本電腦。
AMT提供企業級個人計算機的遠程訪問監控和維護,允許遠程管理。技術方面的短板早已被發現(例1,例2),但最新的漏洞仍然值得注意,因為易於開發。F-Secure報告中說:「漏洞可以在幾秒鐘內被利用而不需要一行代碼。」
設置BIOS密碼(通常可防止未經授權的用戶啟動設備或對其進行低級更改)不會阻止訪問AMT BIOS擴展。這允許攻擊者訪問配置AMT並使遠程利用成為可能。
細節
為避開密碼提示,攻擊者需要做的就是打開目標機器,並在啟動時按住CTRL + P。然後,攻擊者可以使用默認密碼admin登錄到英特爾管理引擎BIOS擴展(MEBx),因為這在大多數公司筆記本電腦上很可能沒有修改。攻擊者隨後可以自由更改默認密碼、啟用遠程訪問、並將AMT的用戶加入"None"。
此時,只要能夠將受害者的機器接入同一個網段,攻擊者就可以遠程訪問系統。通過攻擊者操作的CIRA伺服器,從本地網路外部訪問設備也是可能的。
F-Secure的高級安全顧問Harry Sintonen說:」安全漏洞看似簡單易行,但具有難以置信的破壞潛力。「實際上,即使採取最全面的安全措施,攻擊者也可以完全控制個人的工作筆記本電腦。
雖然最初的攻擊需要物理上的訪問,但Sintonen解釋說,攜帶筆記本外出時很容易被所謂的「惡女僕」的利用。他說:「當你出去喝酒的時候,把筆記本電腦留在旅館裡。攻擊者闖入你的房間並在一分鐘內配置你的筆記本電腦,當你在酒店的無線區域網中使用筆記本電腦時,他們就可以訪問你的桌面。由於你的電腦連接公司的VPN,所以攻擊者可以訪問公司資源「。
在機場、咖啡店這些地方,由於無人看管或被黑客的幫凶分散了注意力,都可能導致筆記本電腦劫持。
去年夏天以來,Sintonen和F-Secure的同事們反覆提及此漏洞, 其類似於CERT-Bund之前發現的一個USB provisioning漏洞。F-Secure強調的漏洞與最近出現的其他漏洞截然不同,這與英特爾AMT的不安全配置和部署有關。
F-Secure說,問題的一大部分歸因於企業在實踐中沒有遵循英特爾的指導意見,並補充說公開此漏洞是為了引起人們的關注。F-Secure表示:「去年夏天我們發現了這個問題,到現在為止,我們已經在數千台筆記本電腦中發現了該問題。儘管製造商提供了如何防止這種情況的信息,但製造商仍然沒有遵循最佳策略,從而將大量易受攻擊的筆記本電腦暴露。企業和用戶不得不自己採取保護措施,但大多數人並沒有意識到這一點。所以提高公眾意識非常重要。「
F-Secure的研究表明,一些系統製造商訪問MEBx時不需要BIOS密碼。因此,未授權即可訪問MEBx的計算機,其物理訪問許可權不受限制,並且其AMT處於出廠默認狀態,可以更改設置。
El Reg了解到,早在2015年,英特爾已經通知系統製造商提供BIOS選項來禁用USB provisioning,並將其值默認設置為禁用。該指南(PDF)已於去年11月更新並重申。
F-Secure報告說,儘管有這些指導,不安全的英特爾AMT架構依然普遍:儘管英特爾已編寫了關於AMT的全面指南,但卻沒有對真實世界中企業筆記本電腦的安全性產生預期的影響。
此問題影響到大部分(如果不是全部的話)支持英特爾管理引擎/英特爾AMT的筆記本電腦。Chipzilla建議廠商在推出AMT時需要BIOS密碼。但是,許多設備製造商不遵循這個建議。
F-Secure建議企業調整系統配置過程以包括設置強大的AMT密碼,如果可行的話禁用AMT。
追加信息
英特爾的一位發言人已接觸並告訴我們:「感謝安全研究機構提醒人們注意,一些系統製造商沒有配置他們的系統來保護英特爾管理引擎BIOS擴展(MEBx)。我們在2015年發布了有關最佳配置實踐的指南,並在2017年11月對其進行了更新,我們強烈要求設備製造商配置其系統以最大限度地提高安全性。對於Intel來說,沒有客戶安全更重要的事。我們將繼續定期更新指南,讓系統製造商確保擁有關於如何保護自身數據的最佳信息。」
本文翻譯自:https://www.theregister.co.uk/2018/01/12/intel_amt_insecure/,如若轉載,請註明原文地址: http://www.4hou.com/info/news/9922.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※如何利用Ruby本地解析器漏洞繞過SSRF過濾器
※美國必勝客用戶信用卡數據泄露,為何遲遲不肯披露?
※NPAPI 為什麼會被 Chrome 禁用?受影響的網站有什麼普遍性?
※真相浮出:法國警方截獲6個涉及WannaCry案件的Tor中繼伺服器
※南郵ctf平台部分題目wp持續更新ing(web篇)
TAG:信息安全 |