Sårbarhed lader angribere omgå login-informationer på computeren

Usikre standardindstillinger i Intel AMT gør det muligt for hackere at omgå bruger- og BIOS-adgangskoder og TPM- og Bitlocker-PINs og dermed få adgang til næsten enhver computere inden for få sekunder

Sikkerhedsfirmaet F-Secure har fundet en sikkerhedsbrist, der rammer stort set alle virksomheders bærbare pc’er, og gør det muligt for en hacker at få adgang til en enhed på mindre end 30 sekunder.

Sårbarheden gør det muligt for hackeren at omgå behovet for at indtaste login-informationer, herunder BIOS- og Bitlocker-adgangskoder og TPM-koder, og muliggør fjernadgang til senere angreb. Problemet ligger i Intels Active Management Technology (AMT) og påvirker potentielt millioner af bærbare computere på globalt plan.

Sikkerhedsbristen “er næsten bedragerisk nemt at udnytte, men det har utroligt ødelæggende potentiale,” siger Harry Sintonen, som undersøgte bristen i sin rolle som Senior Security Consultant hos F-Secure. “I praksis kan det give en hacker fuldstændig kontrol over en persons arbejds-laptop, på trods af selv de mest omfattende sikkerhedsforanstaltninger.”

Intel AMT er en løsning til overvågning og vedligeholdelse af virksomheders computere, der er skabt for at give it-afdelinger eller administrerede tjenesteudbydere bedre muligheder for at kontrollere deres enheder.

Teknologien, som almindeligvis findes i bærbare pc’er, er også tidligere blevet kritiseret for sikkerhedsmæssige svagheder, men enkelheden i udnyttelsen af denne nye sikkerhedsbrist adskiller det fra alle tidligere situationer. På få sekunder kan man uden at skrive så meget som en enkelt linie kode få adgang til systemet.

Kernen i sikkerhedsproblemet er, at det at indstille et BIOS-kodeord, som normalt forhindrer en uautoriseret bruger i at starte enheden op eller lave ændringer på den, ikke forhindrer uautoriseret adgang til AMT BIOS-udvidelsen. Dette giver en angriber adgang til at konfigurere AMT og gøre fjernudnyttelse mulig.


Læs også:

Cyberkriminalitet skal bekæmpes i fællesskab F-Secure har i mange år bekæmpet cyberkriminalitet, og nu er de gået skridtet videre, og har underskrevet en hensigtserklæring med Europols European C...
Nye 0-dags sårbarheden rammer Windows Symantec har fundet to nye 0-dags sårbarheder, som de i øjeblikket undersøger nærmere. Den ene påvirker Windows TrueType Font (TTF), mens den anden, s...

For at udnytte dette skal angriberen blot genstarte eller tænde den udvalgte maskine og trykke CTRL-P under opstart. Angriberen kan derefter logge på Intel Management Engine BIOS Extension (MEBx) ved hjælp af standardadgangskoden, “admin”, da denne standard sandsynligvis er uændret på de fleste firmabærbare.

Den angribende part kan så ændre standardadgangskoden, aktivere fjernadgang og indstille AMTs bruger-opt-in til “None”. Nu kan angriberen få fjernadgang til systemet fra både trådløse og kablede netværk, så længe de kan koble sig på samme netværkssegment som offeret. Adgang til enheden kan også være mulig fra et andet sted end det lokale netværk via en angriber-opereret CIRA-server.

Selv om det oprindelige angreb kræver fysisk adgang, forklarede Sintonen, at den hastighed, hvormed det kan udføres, gør det let at udnytte i et såkaldt “evil maid”-scenarie. “Du efterlader din bærbare computer på dit hotelværelse, mens du går ud for at få en drink. Angriberen bryder ind på dit værelse og konfigurerer din bærbare på mindre end et minut, og nu kan han eller hun få adgang til systemnet, når du bruger din bærbare computer på hotellets WLAN.

Og eftersom computeren tilslutter sig din virksomheds VPN, kan angriberen få adgang til virksomhedens ressourcer.” Sintonen understreger, at det ikke kræver mere end et minuts distraktion fra din laptop i en lufthavn eller på en kaffebar for at have adgang til systemet.

Sintonen stødte på problemet i juli 2017, og bemærker, at en anden forsker* også nævnte det i en nyere forelæsning. Derfor er det især vigtigt, at organisationer kender til den usikre standard, så de kan løse det, før det begynder at blive udnyttet. En lignende sårbarhed er også tidligere blevet påpeget af CERT-Bund, men hvad angår USB-provisioning, fortæller Sintonen.

Problemet påvirker de fleste, hvis ikke alle, bærbare computere, der understøtter Intel Management Engine / Intel AMT. Det er ikke forbundet med de nyligt afslørede Spectre og Meltdown sårbarheder.

Anbefalinger til slutbrugere

  • Lad aldrig din bærbare computer stå uden opsyn på f.eks. et offentligt sted.
  • Kontakt din it-service desk for at få ændret AMT-adgangskoden
  • Hvis du administrerer din enhed på egen hånd, skal du ændre AMT-adgangskoden til en stærk en af slagsen, selvom du ikke har planer om at bruge AMT. Hvis der er mulighed for at deaktivere AMT, skal du gøre det. Hvis adgangskoden allerede er indstillet til et ukendt et, skal du overveje, om enheden allerede er kompromitteret.

Anbefalinger til organisationer

  • Juster systemleveringsprocessen til at indeholde en stærk AMT-adgangskode og deaktiver AMT, hvis denne mulighed er tilgængelig.
  • Gå igennem alle aktuelt implementerede enheder og konfigurer AMT-adgangskoden. Hvis adgangskoden allerede er indstillet til en ny og ukendt en af slagsen, må det formodes, at enheden er kompromitteret, så sæt gang i jeres incident response procedure.

Læs også:

Pas på med, hvad du giver apps tilladelse til Sikkerhedsfirmaet F-Secure advarer mod især tre typer tilladelser du skal være ekstra varsom over for. Punkterne handler om app-tilladelserne i Androi...
TEST af F-Secure Sense: Beskyttelse af forbundne e... Jeg hører til typen der har hjemmet fyldt op af enheder der har en forbindelse til internettet, og jeg er faktisk bekymret over alle de adgangsveje so...

Del artiklen på

Om Lars Bennetzen (1748 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992. Han startede som redaktør på det nu hedengangne it-blad, PC World, og arbejdede efterfølgende som redaktør på ugebladet Ingeniøren. Derefter gik turen til Aller, hvor han arbejdede som it-redaktør på blade som Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test.
Kommentar til artiklen?