Найден «немыслимо простой» способ взлома ноутбуков на процессорах Intel

Безопасность Стратегия безопасности Пользователю Техника
мобильная версия
, Текст: Роман Георгиев
Проблемы в технологии Intel Active Management Technology (AMT) позволяют обходить все средства авторизации в компьютерную систему при наличии физического доступа к конкретной машине. Исправить проблему, по-видимому, будет весьма непросто.

«Немыслимо простой» способ взлома

Исследователи фирмы F-Secure выявили серьезную проблему с технологией Intel Active Management Technology, благодаря которой злоумышленники могут обходить локальные средства авторизации на ноутбуках на базе процессоров Intel. Эксперты отмечают, что для эксплуатации этой уязвимости достаточно полминуты и никаких специализированных знаний не потребуется.

Злоумышленнику потребуется физический доступ к интересующему его лэптопу. В процессе перезагрузки злоумышленнику достаточно зажать CTRL+P и войти в консоль управления Intel Management Engine BIOS Extension (MEBx). Как выясняется, в MEBx существует предустановленный пароль «admin», которого достаточно, чтобы поменять предустановленный пароль к BIOS, настроить удаленный доступ и выключить авторизацию AMT полностью.

Дальше злоумышленники могут удаленно проникать в компьютер жертвы через локальную сеть или из-за ее пределов с помощью CIRA-сервера (сервера удаленного доступа по запросу клиента).

«Атака до немыслимого проста в исполнении, но при этом обладает колоссальным деструктивным потенциалом, - заявил старший консультант по безопасности F-Secure Гарри Синтонен (Harry Sintonen). - На практике злоумышленник через локальную сеть может получить полный контроль над рабочим ноутбуком жертвы, какими бы обширными ни были принятые меры безопасности».

Проблемы в Intel AMT позволяют обходить все средства авторизации ПК

Ключевое ограничение - это необходимость физического доступа к атакуемому ноутбуку. Однако достаточно весьма простой операции, где один из злоумышленников отвлекает владельца ноутбука, а другой перенастраивает его, чтобы обеспечить "входную точку" в корпоративную сеть.

Низовые настройки

Исследователи отмечают, что пароль к MEBx на корпоративных ноутбуках меняют очень редко, то есть в действительности миллионы систем могут быть под угрозой. От эксплуатации этой уязвимости и ее последствий не спасают ни пароль к BIOS, ни идентификационный номер Trusted Platform Module (TPM PIN), ни Bitlocker.

«Intel AMT - это самые низкоуровневые настройки. И если существует возможность таким простым способом их менять, то все прочие меры безопасности оказываются бесполезными, - говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Единственный способ предотвратить эксплуатацию этой уязвимости - это специально выставлять сложный пароль к MEBx или настраивать это расширение так, чтобы оно в обязательном порядке требовало текущий пароль к BIOS. Intel выпустил соответствующие рекомендации еще несколько лет назад, однако далеко не все производители им следуют».

Специалисты F-Secure отмечают, что справиться с проблемами в AMT для крупных корпораций может оказаться весьма непросто: в то время как сама технология AMT разрабатывалась для удобства удаленного администрирования, удаленно внести исправления в ее собственные настройки иногда оказывается непростой задачей.

В F-Secure рекомендуют «удаленно установить количество затронутых активов и попытаться сузить количество пунктов в списке до управляемых значений». Кроме того, указывается в публикации фирмы, те организации, которые используют среды Microsoft и устройства, объединенные в домены, могут использовать преимущества System Center Configuration Manager для работы с AMT. И если обнаруживается, что где-то пароль к AMT сменился без ведома корпоративных администраторов, следует немедленно начинать расследование возможного инцидента.

Что такое Active Management Technology

Технология Active Management Technology обеспечивает функции удаленного администрирования для процессоров с поддержкой технологий Intel vPro. Она предоставляет удаленный и внеполосный (по независимому вспомогательному каналу TCP/IP) доступ для управления настройками и безопасностью компьютера независимо от состояния питания и состояния ОС.

Разного рода уязвимости находились в AMT и раньше, но в данном случае речь идет о небезопасных заводских настройках и неследовании рекомендациям Intel о безопасных настройках и применении AMT.