最新研究:英特尔AMT安全锁可被绕过,影响百万笔记本电脑

TRex 新闻 2018年1月16日发布

导语:根据安全机构F-Secure的说法,英特尔®AMT中的默认设置允许入侵者彻底绕过用户和BIOS密码以及TPM和Bitlocker PIN,几乎可以在30秒左右的时间内闯入任何企业笔记本电脑。

更新

英特尔主动管理技术(AMT)中的安全漏洞可能会被不法分子利用,以绕过笔记本电脑上的登录提示。

根据安全机构F-Secure的说法,英特尔®AMT中的默认设置允许入侵者彻底绕过用户和BIOS密码以及TPM和Bitlocker PIN,几乎可以在30秒左右的时间内闯入任何企业笔记本电脑。此漏洞利用需要物理访问目标计算机,与最近的Spectre和Meltdown漏洞无关,影响全球数百万台笔记本电脑。

AMT提供企业级个人计算机的远程访问监控和维护,允许远程管理。技术方面的短板早已被发现(例1例2),但最新的漏洞仍然值得注意,因为易于开发。F-Secure报告中说:“漏洞可以在几秒钟内被利用而不需要一行代码。”

设置BIOS密码(通常可防止未经授权的用户启动设备或对其进行低级更改)不会阻止访问AMT BIOS扩展。这允许攻击者访问配置AMT并使远程利用成为可能。

细节

为避开密码提示,攻击者需要做的就是打开目标机器,并在启动时按住CTRL + P。然后,攻击者可以使用默认密码admin登录到英特尔管理引擎BIOS扩展(MEBx),因为这在大多数公司笔记本电脑上很可能没有修改。攻击者随后可以自由更改默认密码、启用远程访问、并将AMT的用户加入"None"。

此时,只要能够将受害者的机器接入同一个网段,攻击者就可以远程访问系统。通过攻击者操作的CIRA服务器,从本地网络外部访问设备也是可能的。

F-Secure的高级安全顾问Harry Sintonen说:”安全漏洞看似简单易行,但具有难以置信的破坏潜力。“实际上,即使采取最全面的安全措施,攻击者也可以完全控制个人的工作笔记本电脑。

虽然最初的攻击需要物理上的访问,但Sintonen解释说,携带笔记本外出时很容易被所谓的“恶女仆”的利用。他说:“当你出去喝酒的时候,把笔记本电脑留在旅馆里。攻击者闯入你的房间并在一分钟内配置你的笔记本电脑,当你在酒店的无线局域网中使用笔记本电脑时,他们就可以访问你的桌面。由于你的电脑连接公司的VPN,所以攻击者可以访问公司资源“。

在机场、咖啡店这些地方,由于无人看管或被黑客的帮凶分散了注意力,都可能导致笔记本电脑劫持。

去年夏天以来,Sintonen和F-Secure的同事们反复提及此漏洞, 其类似于CERT-Bund之前发现的一个USB provisioning漏洞。F-Secure强调的漏洞与最近出现的其他漏洞截然不同,这与英特尔AMT的不安全配置和部署有关。

F-Secure说,问题的一大部分归因于企业在实践中没有遵循英特尔的指导意见,并补充说公开此漏洞是为了引起人们的关注。F-Secure表示:“去年夏天我们发现了这个问题,到现在为止,我们已经在数千台笔记本电脑中发现了该问题。尽管制造商提供了如何防止这种情况的信息,但制造商仍然没有遵循最佳策略,从而将大量易受攻击的笔记本电脑暴露。企业和用户不得不自己采取保护措施,但大多数人并没有意识到这一点。所以提高公众意识非常重要。“

F-Secure的研究表明,一些系统制造商访问MEBx时不需要BIOS密码。因此,未授权即可访问MEBx的计算机,其物理访问权限不受限制,并且其AMT处于出厂默认状态,可以更改设置。

El Reg了解到,早在2015年,英特尔已经通知系统制造商提供BIOS选项来禁用USB provisioning,并将其值默认设置为禁用。该指南(PDF)已于去年11月更新并重申。

F-Secure报告说,尽管有这些指导,不安全的英特尔AMT架构依然普遍:尽管英特尔已编写了关于AMT的全面指南,但却没有对真实世界中企业笔记本电脑的安全性产生预期的影响。

此问题影响到大部分(如果不是全部的话)支持英特尔管理引擎/英特尔AMT的笔记本电脑。Chipzilla建议厂商在推出AMT时需要BIOS密码。但是,许多设备制造商不遵循这个建议。

F-Secure建议企业调整系统配置过程以包括设置强大的AMT密码,如果可行的话禁用AMT。

追加信息

英特尔的一位发言人已接触并告诉我们:“感谢安全研究机构提醒人们注意,一些系统制造商没有配置他们的系统来保护英特尔管理引擎BIOS扩展(MEBx)。我们在2015年发布了有关最佳配置实践的指南,并在2017年11月对其进行了更新,我们强烈要求设备制造商配置其系统以最大限度地提高安全性。对于Intel来说,没有客户安全更重要的事。我们将继续定期更新指南,让系统制造商确保拥有关于如何保护自身数据的最佳信息。”

本文翻译自:https://www.theregister.co.uk/2018/01/12/intel_amt_insecure/,如若转载,请注明原文地址: http://www.4hou.com/info/news/9922.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论