F-Secure segnala oggi un problema di sicurezza che interessa la maggior parte dei laptop aziendali e che consentirebbe a un malintenzionato di accedere fisicamente a una backdoor di un dispositivo in meno di trenta secondi.
Il problema consente di ignorare la necessità di immettere le credenziali, tra cui password BIOS e Bitlocker e pin TPM, e di ottenere l’accesso remoto al laptop per uno sfruttamento successivo. Il problema esiste nella Intel Active Management Technology (AMT) e potenzialmente influenza milioni di laptop a livello globale.
Il problema interessa i laptop che supportano Intel Management Engine/Intel AMT, non è nuovo, e non è correlato alle vulnerabilità di Spectre e Meltdown divulgate di recente.
Per Harry Sintonen, che ha esaminato la questione in quanto Senior Security Consultant di F-Secure, il problema di sicurezza, dopo vari mesi “è ancora semplice da sfruttare e ha un incredibile potenziale distruttivo. In pratica, può dare a un utente malintenzionato il controllo completo sul portatile di lavoro di un individuo, nonostante le misure di sicurezza più ampie“.
Intel AMT è una soluzione per il monitoraggio dell’accesso remoto e la manutenzione di personal computer aziendali, creata per consentire ai dipartimenti IT o ai fornitori di servizi gestiti di controllare meglio le proprie flotte di dispositivi. La tecnologia, che si trova comunemente nei laptop aziendali, è stata già in passato criticata per i punti deboli della sicurezza, ma la semplicità di sfruttamento distingue il problema scoperto dai ricercatori finlandesi dalle istanze precedenti. La vulnerabilità può essere sfruttata in pochi secondi senza una singola riga di codice.
L’essenza del problema di sicurezza è che l’impostazione di una password BIOS, che normalmente impedisce a un utente non autorizzato di avviare il dispositivo o apportare modifiche di basso livello, non impedisce l’accesso non autorizzato all’estensione del BIOS AMT. Ciò consente a un malintenzionato di accedere a configurare AMT e rendere possibile lo sfruttamento remoto.
Per sfruttarlo, dice F-Secure tutto ciò che un malintenzionato deve fare è riavviare o accendere il computer di destinazione e premere CTRL-P durante l’avvio.
Il malintenzionato può quindi accedere alla Intel BIOS Engine Engine Extension (MEBx) utilizzando la password predefinita admin, poiché questa impostazione predefinita è probabilmente invariata nella maggior parte dei laptop aziendali.
Può quindi modificare la password predefinita, abilitare l’accesso remoto e impostare l’attivazione dell’utente di AMT su “nessuno”. Così può ora ottenere l’accesso remoto al sistema da reti wireless e cablate. L’accesso al dispositivo può anche essere possibile dall’esterno della rete locale tramite un server CIRA gestito.
Sebbene l’attacco iniziale richieda l’accesso fisico, Sintonen ha spiegato che la velocità con cui può essere eseguito lo rende facilmente sfruttabile. Per esempio è sufficiente lasciare il laptop non presidiato nella camera d’albergo: può essere configurato in meno di un minuto e acceduto quando si utilizza il laptop nella WLAN dell’hotel. E poiché il computer si connette alla VPN aziendale, l’attacker può accedere alle risorse aziendali.
Come si rimedia
Gli utenti non devono lasciare mai il portatile incustodito in un luogo non sicuro come un luogo pubblico. Devono contattare il service desk IT per gestire il dispositivo. Se si ha la gestione del dispositivo, modificare la password AMT con una password forte, anche se non si ha intenzione di utilizzare AMT. Se la password è già impostata con un termine sconosciuto, il laptop va considerato sospetto.
Le aziende devono regola il processo di provisioning del sistema per includere l’impostazione di una password AMT avanzata o disattivare AMT se questa opzione è disponibile. Passare tutti i dispositivi attualmente distribuiti e configurare la password AMT. Se la password è già impostata con un termine sconosciuto, il laptop va considerato sospetto e va avviata la procedura di incident response.
