News

Nuova falla di sicurezza in Intel AMT

Consente di bypassare completamente le password dell’utente e del BIOS e i PIN di TPM di Bitlocker per creare backdoor su quasi ogni notebook aziendale in pochi secondi.

Scritto da: Redazione
15 gennaio 2018
Pagina 1 di 1
F-Secure segnala una problematica di sicurezza in Intel Active Management Technology che riguarda la maggior parte dei notebook aziendali.  Questo problema consente l'attacco in pochi secondi superando le credenziali, incluse le password del BIOS e di Bitlocker e ilPINdel TPM (Trusted Platform Module), e ottenendo l'accesso remoto per sfruttare quel dispositivo in un secondo momento. Come accennato, questa problematica è presente nell’Active Management Technology (AMT) di Intel e colpisce potenzialmente milioni di notebook nel mondo.
 
Stando a quanto dichiarato da Harry Sintonen, Senior Security Consultant in F-Secur , “è piuttosto semplice da sfruttare, ma ha un potenziale distruttivo incredibile. In pratica, può fornire all’attaccante un controllo completosul notebook aziendale di un utente, nonostante le più costose misure di sicurezza postein essere.”
 
Come funziona la vulnerabilità
 
Il problema sta nel fatto cheimpostare una password del BIOS - che solitamente evita che un utente non autorizzato possa avviare il dispositivo o apportarvi modifiche a basso livello - non previene accessi non autorizzati all’estensione BIOS per la configurazione dell’AMT. Questo consente a un attaccante di riconfigurare l’AMT e rendere il dispositivo vulnerabile da remoto. 
Tutto ciò che un malintenzionato deve fare è riavviare o accendere il computer preso di mira e premere CTRL-P durante il riavvio. L’attaccante poi può loggarsi in Intel Management Engine BIOS Extension (MEBx) usando la password di default “admin”, poiché questa password non viene quasi mai cambiata sulla maggior parte dei notebook aziendali. Può poi cambiare la password, abilitare l’accesso remoto e impostare l’opt-in dell’utente di AMT su “Nessuno”. L’attaccante può quindi ottenere accesso remoto al sistema sia da reti wireless che cablate, finché è capace di inserirsi sullo stesso segmento di rete della vittima. Un accesso al dispositivo è anche possibile dall’esterno rispetto alla rete locale attraverso un server CIRA (Client Initiated Remote Access) comandato dall’attaccante.
 
L’attacco iniziale richiede un accesso fisico al dispositivo. Sintonen ha spiegato che la velocità con cui può essere compiuto lo rende facilmente eseguibile in uno scenario che in inglese viene definito ‘evil maid’ ( che utilizzano un accesso fisico). Assicurarsi quindi di non lasciare incustodito il computer, per evitare che in un momento di distrazione, un malintenzionato possa  riconfigurare il PC in meno di un minuto per poi sfruttare successivamente la backdoor.  
 
Per difendersi, in attesa che venga rilasciato un aggiornamento,  è necessario impostare password più complesse per AMT o disattivarlo completamente.

Condividi su...

Guarda anche

Annulla

Newsletter

Ricevi via mail le novitą di questo magazine

Seguici su...

Chiudi
PCSelf - Magazine On-Line di informazione e tecnologia dal 1999

Sito web:
http://pcself.com/

Facebook:
http://www.facebook.com/pcselfcom

Twitter:
http://twitter.com/pcself

Realizzato con:

© 1999 - 2019 / Tutti i diritti sono riservati / Riproduzione vietata

Chiudi