F-Secure poinformowała o wykryciu problemu z bezpieczeństwem technologii Intel AMT (Active Management Technology). Jest to rozwiązanie do zdalnego zarządzania i monitorowania komputerów klasy korporacyjnej, wykorzystywane w milionach laptopów biznesowych na całym świecie.

Haker, który ma fizyczny dostęp do komputera, może włamać się do niego w niespełna pół minuty – bez konieczności wprowadzania np. hasła do BIOS-u, Bitlockera, PIN do TPM, a następnie uzyskać zdalny dostęp do urządzenia. W efekcie cyberprzestępca jest w stanie w pełni kontrolować służbowy laptop pracownika, mimo że ten stosuje wszelkie środki bezpieczeństwa.

Według F-Secure problem dotyczy większości laptopów obsługujących Intel Management Engine/Intel AMT i nie jest związany z ostatnio ujawnionymi lukami Spectre i Meltdown.

Zdaniem firmy łatwość, z jaką można obecnie uzyskać dostęp do urządzenia bez konieczności wpisania choćby jednej linijki kodu sprawia, że ten rodzaj podatności znacznie różni się od poprzednich.

Ustawienie hasła do BIOS-u, które zwykle uniemożliwia nieautoryzowanemu użytkownikowi uruchomienie urządzenia lub wprowadzenie zmian, nie zapobiega uzyskaniu nieautoryzowanego dostępu do AMT BIOS Extension (MEBx). Haker może skonfigurować AMT tak, aby możliwa była zdalna kontrola nad urządzeniem.

Aby uzyskać dostęp do laptopa, wystarczy uruchomić ponownie urządzenie i nacisnąć klawisze CTRL-P podczas rozruchu. Następnie haker może zalogować się do Intel Management Engine BIOS Extension (MEBx), używając hasła „admin”, ustawionego jako domyślne w większości biznesowych laptopów.

Kolejny krok to zmiana domyślnego hasła, aktywowanie zdalnego dostępu i wyłączenie konieczności wyrażania zgody na zdalną sesję poprzez zmianę opcji AMT user opt-in na none. Od tego momentu haker może uzyskiwać dostęp do laptopa przez sieć przewodową lub bezprzewodową – pod warunkiem, że jest zalogowany do tej samej sieci, z której korzysta ofiara. Ponieważ urządzenie łączy się z firmową siecią VPN, cyberprzestępca może uzyskać dostęp do zasobów przedsiębiorstwa.

Dostęp do laptopa jest również możliwy spoza sieci za pośrednictwem zarządzanego przez cyberprzestępcę serwera CIRA.

Problem został odkryty przez specjalistę F-Secure w lipcu ub.r.  O podobnym zagrożeniu informowała wcześniej organizacja CERT-Bund, ale dotyczyło to zmian konfiguracji urządzenia za pomocą dysku USB. 

Intel rekomenduje, aby producenci wymagali podawania hasła do BIOS-u w celu skonfigurowania Intel AMT.

Zaleca się użytkownikom, aby nie pozostawiali laptopa bez nadzoru, szczególnie w miejscach publicznych. Wskazany jest kontakt z działem IT w firmie w celu skonfigurowania urządzenia. W przypadku prywatnego urządzenia pracownika, należy ustawić silne hasło dla AMT, nawet jeśli nie planuje się z niego korzystać. Warto wyłączyć AMT, jeśli dostępna jest taka opcja. Jeżeli hasło jest już ustawione na nieznaną wartość, urządzenie mogło zostać w przeszłości zaatakowane.

Organizacjom zaleca się zmianę procesu konfigurowania systemów tak, aby obejmował ustawianie silnego hasła AMT lub wyłączenie AMT. Należy skonfigurować hasło AMT we wszystkich obecnie używanych urządzeniach. Jeśli hasło jest już ustawione na nieznaną wartość, należy traktować urządzenie jako podejrzane i rozpocząć procedurę reagowania na naruszenie bezpieczeństwa.