Эксплойт безопасности Intel AMT позволяет взломать менее чем за минуту

Исследования компании F-Secure, занимающейся безопасностью, имеют довольно серьезные последствия для любого пользователя ПК, использующего процессоры Intel. В исследовании, которое можно найти в блоге на веб-сайте F-Secure, обсуждается физический эксплойт, который позволяет злоумышленнику менее чем за минуту вводить бэкдоры на ноутбуках. Целью взлома будет создание ситуации, в которой злоумышленник может получить удаленный доступ к машине через этот бэкдор. Эксплойт использует технологию активного управления Intel (AMT) и был первоначально обнаружен старшим консультантом по безопасности F-Secure Гарри Синтоненом еще в июле 2017 года. Причина эксплойта безопасности Intel AMT связана с процессом загрузки по умолчанию через AMT. (Это не первый недавно обнаруженный эксплойт безопасности Intel AMT.) Сообщение F-Secure объясняет это следующим образом:

Злоумышленник начинает с перезагрузки компьютера цели, после чего входит в меню загрузки… выбрав расширение Intel Management Engine BIOS Extension (MEBx), он может войти в систему, используя пароль по умолчанию «admin», так как он, скорее всего, не был изменен Пользователь. Изменив пароль по умолчанию, включив удаленный доступ и установив для пользователя AMT значение «Нет», ловкий киберпреступник фактически скомпрометировал машину. Теперь злоумышленник может получить доступ к системе удаленно, если он может подключиться к тому же сегменту сети, что и жертва.

Некоторые могут подумать, что для этого требуется физический доступ, что затрудняет реализацию этой атаки на практике. Никогда не стоит недооценивать силу социальной инженерии (спросите самого легендарного Кевина Митника, многие из его взломов были связаны с социальной инженерией). Вы будете удивлены, насколько близко к чувствительным машинам вы сможете подобраться при надлежащем обучении этому коварному искусству. Этот процесс вставки бэкдора через AMT настолько быстр, не более минуты, что списывать этот эксплойт как невозможный никогда не стоит.

Итак, как мы реагируем на угрозу этого конкретного эксплойта? Один довольно очевидный шаг — изучить методы социальной инженерии и улучшить физическую безопасность. Однако это само собой разумеющееся, и, кроме того, это напрямую не решает проблему эксплойта при загрузке AMT.

В сообщении в блоге F-Secure было сказано следующее, и это, кажется, самый разумный совет, который можно дать:

Процесс подготовки системы необходимо обновить, включив в него установку надежного пароля для AMT или полное его отключение, если это возможно. ИТ-отдел также должен просмотреть все развернутые в настоящее время машины и организовать для них ту же процедуру.

Исправление этого эксплойта безопасности Intel AMT станет масштабной задачей для ИТ-отделов, но, по крайней мере, есть жизнеспособные решения довольно серьезной проблемы.