Sårbarhed lader angribere omgå login-informationer på computeren

Usikre standardindstillinger i Intel AMT gør det muligt for hackere at omgå bruger- og BIOS-adgangskoder og TPM- og Bitlocker-PINs og dermed få adgang til næsten enhver computere inden for få sekunder

16. januar 2018 Lars Bennetzen Nyheder fra gl. site, Nyhedsbrev, Sikkerhed, Tophistorier

Sikkerhedsfirmaet F-Secure har fundet en sikkerhedsbrist, der rammer stort set alle virksomheders bærbare pc’er, og gør det muligt for en hacker at få adgang til en enhed på mindre end 30 sekunder.

Sårbarheden gør det muligt for hackeren at omgå behovet for at indtaste login-informationer, herunder BIOS- og Bitlocker-adgangskoder og TPM-koder, og muliggør fjernadgang til senere angreb. Problemet ligger i Intels Active Management Technology (AMT) og påvirker potentielt millioner af bærbare computere på globalt plan.

Sikkerhedsbristen “er næsten bedragerisk nemt at udnytte, men det har utroligt ødelæggende potentiale,” siger Harry Sintonen, som undersøgte bristen i sin rolle som Senior Security Consultant hos F-Secure. “I praksis kan det give en hacker fuldstændig kontrol over en persons arbejds-laptop, på trods af selv de mest omfattende sikkerhedsforanstaltninger.”

Intel AMT er en løsning til overvågning og vedligeholdelse af virksomheders computere, der er skabt for at give it-afdelinger eller administrerede tjenesteudbydere bedre muligheder for at kontrollere deres enheder.

Teknologien, som almindeligvis findes i bærbare pc’er, er også tidligere blevet kritiseret for sikkerhedsmæssige svagheder, men enkelheden i udnyttelsen af denne nye sikkerhedsbrist adskiller det fra alle tidligere situationer. På få sekunder kan man uden at skrive så meget som en enkelt linie kode få adgang til systemet.

Kernen i sikkerhedsproblemet er, at det at indstille et BIOS-kodeord, som normalt forhindrer en uautoriseret bruger i at starte enheden op eller lave ændringer på den, ikke forhindrer uautoriseret adgang til AMT BIOS-udvidelsen. Dette giver en angriber adgang til at konfigurere AMT og gøre fjernudnyttelse mulig.

[yuzo_related]

For at udnytte dette skal angriberen blot genstarte eller tænde den udvalgte maskine og trykke CTRL-P under opstart. Angriberen kan derefter logge på Intel Management Engine BIOS Extension (MEBx) ved hjælp af standardadgangskoden, “admin”, da denne standard sandsynligvis er uændret på de fleste firmabærbare.

Den angribende part kan så ændre standardadgangskoden, aktivere fjernadgang og indstille AMTs bruger-opt-in til “None”. Nu kan angriberen få fjernadgang til systemet fra både trådløse og kablede netværk, så længe de kan koble sig på samme netværkssegment som offeret. Adgang til enheden kan også være mulig fra et andet sted end det lokale netværk via en angriber-opereret CIRA-server.

Selv om det oprindelige angreb kræver fysisk adgang, forklarede Sintonen, at den hastighed, hvormed det kan udføres, gør det let at udnytte i et såkaldt “evil maid”-scenarie. “Du efterlader din bærbare computer på dit hotelværelse, mens du går ud for at få en drink. Angriberen bryder ind på dit værelse og konfigurerer din bærbare på mindre end et minut, og nu kan han eller hun få adgang til systemnet, når du bruger din bærbare computer på hotellets WLAN.

Og eftersom computeren tilslutter sig din virksomheds VPN, kan angriberen få adgang til virksomhedens ressourcer.” Sintonen understreger, at det ikke kræver mere end et minuts distraktion fra din laptop i en lufthavn eller på en kaffebar for at have adgang til systemet.

Sintonen stødte på problemet i juli 2017, og bemærker, at en anden forsker* også nævnte det i en nyere forelæsning. Derfor er det især vigtigt, at organisationer kender til den usikre standard, så de kan løse det, før det begynder at blive udnyttet. En lignende sårbarhed er også tidligere blevet påpeget af CERT-Bund, men hvad angår USB-provisioning, fortæller Sintonen.

Problemet påvirker de fleste, hvis ikke alle, bærbare computere, der understøtter Intel Management Engine / Intel AMT. Det er ikke forbundet med de nyligt afslørede Spectre og Meltdown sårbarheder.

Anbefalinger til slutbrugere

  • Lad aldrig din bærbare computer stå uden opsyn på f.eks. et offentligt sted.
  • Kontakt din it-service desk for at få ændret AMT-adgangskoden
  • Hvis du administrerer din enhed på egen hånd, skal du ændre AMT-adgangskoden til en stærk en af slagsen, selvom du ikke har planer om at bruge AMT. Hvis der er mulighed for at deaktivere AMT, skal du gøre det. Hvis adgangskoden allerede er indstillet til et ukendt et, skal du overveje, om enheden allerede er kompromitteret.

Anbefalinger til organisationer

  • Juster systemleveringsprocessen til at indeholde en stærk AMT-adgangskode og deaktiver AMT, hvis denne mulighed er tilgængelig.
  • Gå igennem alle aktuelt implementerede enheder og konfigurer AMT-adgangskoden. Hvis adgangskoden allerede er indstillet til en ny og ukendt en af slagsen, må det formodes, at enheden er kompromitteret, så sæt gang i jeres incident response procedure.

Tjek priser på bredbånd

Tech-Test har indgået et samarbejde med Samlino så du kan tjekke bredbåndspriser og ikke mindst muligheder for bredbånd på din adresse.

Det er helt gratis og Samlino skal ikke bruge andet end din adresse for at levere priser til dig.

Når du har indtastet adressen i feltet herunder, bliver du sendt til Samlino, hvor du får vist resultatet, og hvor du kan indsætte flere filtre, hvis du har bestemte behov for dit bredbånd.

Relaterede Artikler

Nyheder fra gl. site

Hver tredje mistænkelige e-mail til medarbejdere er phishing

8. september 2021 Lars Bennetzen Nyheder fra gl. site, Nyhedsbrev, Sikkerhed, Tophistorier
33 pct. af de phishingmails, medarbejdere rapporterede i første halvår af 2021 kan betegnes som ondsindede eller stærkt mistænkelige. Det viser en dugfrisk rapport fra F-Secure, der baseres på indrapporteringer fra medarbejdere via F-Secures rapporteringsværktøj til Microsoft Office365. Rapporten viser også, at 59 pct af medarbejderne rapporterede mailen pga. mistænkelige links, mens 54 pct. rapporterede på grund af ukendt eller uventet afsender. Derudover rapporterede 37 pct. pga. spam-mails, 34 pct. social engineering og syv pct. på baggrund af mistænkelige vedhæftede filer. Dermed kaster rapporten for alvor lys over den potentielle effektivitet ved at indtænke medarbejderne som en integreret del af virksomhedens it-sikkerhed. Medarbejdende som første forsvarslinje I 99 pct. af tilfældene foregik selve behandlingen af indberetningerne fra medarbejderne automatisk. Her blev 33 pct. af de indrapporterede e-mails klassificeret som phishing. It-medarbejdere foretog derefter manuel analyse af den resterende ene pct. og fastslog, at 63 pct. af disse også var phishing-forsøg. Dermed tegner der sig et klart billede at, at phishing bestemt ikke er på vej af mode. Phishing er stadig en af de absolut mest anvendte metoder i forhold til at franarre virksomheders data direkte via medarbejdende. Vi ser også, at phishingmails bliver sværere og sværere at identificere, fordi de cyberkriminelle hele tiden bliver dygtigere. Moderne phishing-forsøg ligner til forveksling almindelige e-mails, og derfor skal danske virksomheder og deres medarbejdere være ekstra opmærksomme på mistænkelige mails. Morten Holm, Country Sales Manager hos F-Secure i Danmark Ofte hører man, at medarbejderne er virksomhedernes største sikkerhedsmæssige risiko. Men den holdning er for …. (læs mere her)
Nyheder fra gl. site

Email-angreb skaber stadig problemer for virksomheder

23. februar 2018 Lars Bennetzen Nyheder fra gl. site, Nyhedsbrev, Tophistorier
Over en tredjedel af alle sikkerhedsbrister starter med phishing-e-mails eller ondsindede vedhæftede filer, der sendes til virksomhedens medarbejdere viser en ny rapport offentliggjort af cybersecurity-firmaet F-Secure. F-Secures nye Incident Response Report opsummerer resultaterne fra F-Secure’s undersøgelser af sikkerhedsbrister og giver indsigt i, hvordan virkelige hackere angriber organisationer. Phishing og e-mails med ondsindede vedhæftede filer tegner sig for ca. 34 procent af alle sikkerhedsbrud, hvilket ifølge F-Secures Principal Security Consultant, Tom Van de Wiele, gør angreb, der rammer via e-mail, til et meget større problem for organisationer. “Udnyttelse af sårbarheder i software i drive-by scenarier er typisk i opportunistiske angreb, men brud på virksomheders systemer via e-mail er faktisk langt mere almindeligt. Der er mange forskellige måder, som forskellige angribere kan bruge e-mail til at komme ind i virksomheder, og disse angreb er populære, fordi næsten alle virksomheder er afhængige af e-mail til kommunikation”, siger Van de Wiele. “Folk er nødt til at tænke, før de klikker på vedhæftede filer og links, men presset på mange arbejdspladser overvinder denne logik, som angriberne forstår og udnytter.” Andre vigtige fund i rapporten er: Organisationer blev ramt af målrettede og opportunistiske angreb i næsten lige forhold til hinanden Insider-trusler tegnede sig for en femtedel af hændelserne Incident responders blev kontaktet, efter at systemerne blev gennemtrængt i næsten 80 procent af sagerne Oftest spreder angriberne malware efter et brud (hovedsagelig med økonomisk gevinst for øje, men også til spionage eller opretholdelse af adgang til fremtidige angreb) 13 procent af undersøgelserne viste sig at være falske …. (læs mere her)
Nyheder fra gl. site

Nu skal billeder af børnemisbrug på nettet fjernes

17. november 2021 Lars Bennetzen Nyheder fra gl. site, Nyhedsbrev, Sikkerhed, Tophistorier
Sikkerhedsfirmaet F-Secure har indgået samarbejde med Internet Watch Foundation (IWF), som er en velgørende organisation, der arbejder for at udrydde billeder på nettet af børn, der bliver seksuelt misbrugt. Med samarbejdet vil begge parter drage fordel af hinandens specifikke kompetencer og derved styrke formålet med at beskytte børn og deres familier online. F-Secure slutter sig til IWF på et afgørende tidspunkt. Sidste år var et rekordår for IWF, hvor vores analytikere fandt og fjernede mere indhold af børn, der bliver seksuelt misbrugt, end nogensinde før. Onlinetruslen fra pædofile, som gør alt, hvad de kan for at få adgang til og misbruge børn, må vi aldrig undervurdere. Derfor er det så vigtigt at arbejde sammen med virksomheder som F-Secure. De er vigtige allierede i forbindelse med at beskytte børn og gøre internettet til et mere sikkert sted for alle. Susie Hargreaves OBE, der er CEO for IWF Internet Watch Foundation blev grundlagt i 1996 med en mission om at fjerne billeder og videoer af børn, der bliver seksuelt misbrugt fra internettet. Hver uge finder organisationens analytikere over 3.000 hjemmesider med kriminelt indhold, der skal fjernes. Og sidste år registrerede IWF millioner af ulovlige billeder og videoer med henblik på at få dem fjernet. I gennemsnit forhindrer F-Secure dagligt næsten 300.000 ondsindede hjemmesider i at sprede malware eller på anden vis skade virksomheder og privatpersoner. Desuden giver F-Secures globale netværk af over 200 teleoperatører virksomheden en unik position til at arbejde inden for telesektoren for at skabe nye og innovative beskyttelsesstrategier. “Mange …. (læs mere her)
Kommentar til artiklen?