Sårbarhed lader angribere omgå login-informationer på computeren

Usikre standardindstillinger i Intel AMT gør det muligt for hackere at omgå bruger- og BIOS-adgangskoder og TPM- og Bitlocker-PINs og dermed få adgang til næsten enhver computere inden for få sekunder

Sikkerhedsfirmaet F-Secure har fundet en sikkerhedsbrist, der rammer stort set alle virksomheders bærbare pc’er, og gør det muligt for en hacker at få adgang til en enhed på mindre end 30 sekunder.

Sårbarheden gør det muligt for hackeren at omgå behovet for at indtaste login-informationer, herunder BIOS- og Bitlocker-adgangskoder og TPM-koder, og muliggør fjernadgang til senere angreb. Problemet ligger i Intels Active Management Technology (AMT) og påvirker potentielt millioner af bærbare computere på globalt plan.

Sikkerhedsbristen “er næsten bedragerisk nemt at udnytte, men det har utroligt ødelæggende potentiale,” siger Harry Sintonen, som undersøgte bristen i sin rolle som Senior Security Consultant hos F-Secure. “I praksis kan det give en hacker fuldstændig kontrol over en persons arbejds-laptop, på trods af selv de mest omfattende sikkerhedsforanstaltninger.”

Intel AMT er en løsning til overvågning og vedligeholdelse af virksomheders computere, der er skabt for at give it-afdelinger eller administrerede tjenesteudbydere bedre muligheder for at kontrollere deres enheder.

Teknologien, som almindeligvis findes i bærbare pc’er, er også tidligere blevet kritiseret for sikkerhedsmæssige svagheder, men enkelheden i udnyttelsen af denne nye sikkerhedsbrist adskiller det fra alle tidligere situationer. På få sekunder kan man uden at skrive så meget som en enkelt linie kode få adgang til systemet.

Kernen i sikkerhedsproblemet er, at det at indstille et BIOS-kodeord, som normalt forhindrer en uautoriseret bruger i at starte enheden op eller lave ændringer på den, ikke forhindrer uautoriseret adgang til AMT BIOS-udvidelsen. Dette giver en angriber adgang til at konfigurere AMT og gøre fjernudnyttelse mulig.


Læs også:

Gratis onlinesikkerhedskursus fra F-Secure gentage... Cyber Security Base with F-Secure er et såkaldt massive open online course (MOOC) udviklet af Helsinki Universitet og F-Secure. Kurset er designet, så...
Intel lancerer spilbaserede undervisningskurser Den amerikanske chipproducent Intel, har mange flere jern i ilden end blot at fremstille mindre og hurtigere chips til vores computere, smartphones og...

For at udnytte dette skal angriberen blot genstarte eller tænde den udvalgte maskine og trykke CTRL-P under opstart. Angriberen kan derefter logge på Intel Management Engine BIOS Extension (MEBx) ved hjælp af standardadgangskoden, “admin”, da denne standard sandsynligvis er uændret på de fleste firmabærbare.

Den angribende part kan så ændre standardadgangskoden, aktivere fjernadgang og indstille AMTs bruger-opt-in til “None”. Nu kan angriberen få fjernadgang til systemet fra både trådløse og kablede netværk, så længe de kan koble sig på samme netværkssegment som offeret. Adgang til enheden kan også være mulig fra et andet sted end det lokale netværk via en angriber-opereret CIRA-server.

Selv om det oprindelige angreb kræver fysisk adgang, forklarede Sintonen, at den hastighed, hvormed det kan udføres, gør det let at udnytte i et såkaldt “evil maid”-scenarie. “Du efterlader din bærbare computer på dit hotelværelse, mens du går ud for at få en drink. Angriberen bryder ind på dit værelse og konfigurerer din bærbare på mindre end et minut, og nu kan han eller hun få adgang til systemnet, når du bruger din bærbare computer på hotellets WLAN.

Og eftersom computeren tilslutter sig din virksomheds VPN, kan angriberen få adgang til virksomhedens ressourcer.” Sintonen understreger, at det ikke kræver mere end et minuts distraktion fra din laptop i en lufthavn eller på en kaffebar for at have adgang til systemet.

Sintonen stødte på problemet i juli 2017, og bemærker, at en anden forsker* også nævnte det i en nyere forelæsning. Derfor er det især vigtigt, at organisationer kender til den usikre standard, så de kan løse det, før det begynder at blive udnyttet. En lignende sårbarhed er også tidligere blevet påpeget af CERT-Bund, men hvad angår USB-provisioning, fortæller Sintonen.

Problemet påvirker de fleste, hvis ikke alle, bærbare computere, der understøtter Intel Management Engine / Intel AMT. Det er ikke forbundet med de nyligt afslørede Spectre og Meltdown sårbarheder.

Anbefalinger til slutbrugere

  • Lad aldrig din bærbare computer stå uden opsyn på f.eks. et offentligt sted.
  • Kontakt din it-service desk for at få ændret AMT-adgangskoden
  • Hvis du administrerer din enhed på egen hånd, skal du ændre AMT-adgangskoden til en stærk en af slagsen, selvom du ikke har planer om at bruge AMT. Hvis der er mulighed for at deaktivere AMT, skal du gøre det. Hvis adgangskoden allerede er indstillet til et ukendt et, skal du overveje, om enheden allerede er kompromitteret.

Anbefalinger til organisationer

  • Juster systemleveringsprocessen til at indeholde en stærk AMT-adgangskode og deaktiver AMT, hvis denne mulighed er tilgængelig.
  • Gå igennem alle aktuelt implementerede enheder og konfigurer AMT-adgangskoden. Hvis adgangskoden allerede er indstillet til en ny og ukendt en af slagsen, må det formodes, at enheden er kompromitteret, så sæt gang i jeres incident response procedure.

Læs også:

Alvorlige sårbarheder i mere end 900 millioner And... På sikkerhedskonferencen Def Con 24 har Check Point netop annonceret at de har opdaget fire nye alvorlige sårbarheder, der påvirker mere end 900 milli...
Intel på vej mod kvantechips Det kan virke lidt underligt at Intel fejrer denne specielle chip, for 17 er ikke noget magisk nummer i kvanteverdenen. Det er heller ikke fordi den h...

Del artiklen på

Om Lars Bennetzen (1939 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?