Специалисты по безопасности обнаружили в аппаратном обеспечении Intel новую уязвимость, которая ставит под угрозу миллионы устройств. Используя слабые места в Advanced Management Technology (AMT), злоумышленники могут обойти пароли BitLocker, BIOS и PIN-коды TPM и проникнуть в любой ноутбук, даже корпоративный. Для этого им необходимо всего на 30 секунд получить физический доступ к компьютеру жертвы.

Проблему обнаружил в июле 2017 года Гарри Синтонен (Harry Sintonen), один из старших консультантов финской компании F-Secure. Он обратил внимание на небезопасность настроек по умолчанию в Intel AMT — аппаратной прошивке, которая обеспечивает управление удаленным компьютером. Она поставляется с набором микросхем и потому позволяет обращаться к «железу» напрямую, минуя операционную систему. Технология Advanced Management необходима IT-специалистам для управления большим парком компьютеров. Она дает возможность системным администраторам корпоративных сетей заниматься обслуживанием компьютеров, не имея к ним физического доступа: удаленно включать и выключать устройства, отслеживать и устранять неисправности, устанавливать обновления.

По словам Синтонена, уязвимы все компьютеры, на которых пользователь при установке AMT не изменил стандартный пароль admin. Получив физический доступ к такому устройству, злоумышленник может в процессе загрузки системы нажать Ctrl+P, выбрать расширение BIOS для Microsoft Management Engine (MEBx) и ввести указанный пароль по умолчанию.

После этого преступнику достаточно сменить пароль, включить удаленный доступ и выставить в настройках «не спрашивать согласия пользователя на запуск AMT». Теперь для полного удаленного доступа к системе ему остается только подключиться к  тому же сегменту сети, что и жертва. При этом подключение возможно как проводное, так и беспроводное — хотя во втором случае потребуется несколько дополнительных шагов. Доступ к устройству возможен также и за пределами локальной сети при помощи сервера CIRA, которым управляет злоумышленник.

Для первоначальной атаки необходим физический доступ, однако проходит она так быстро, что уязвимым оказывается любой ноутбук или компьютер, оставленный без присмотра на несколько минут.

Гарри Синтонен описал один из возможных сценариев: «Вы оставили ноутбук в номере отеля, а сами пошли выпить. Злоумышленник проникает в номер и меньше чем за минуту перенастраивает компьютер. Теперь, когда вы воспользуетесь местной локальной сетью, он сможет получить доступ к рабочему столу. А поскольку компьютер через VPN подключен к рабочей сети вашей компании, преступник тоже получает доступ к этим ресурсам».

В отличие от недавно обнаруженных уязвимостей Meltdown и Spectre, данная брешь в системе безопасности не является фундаментальным недостатком архитектуры процессора. Исследователь заметил, что проблема возникает в основном из-за того, что пользователи не следуют инструкциям Intel и не меняют пароль AMT после установки. Поэтому для устранения потенциальной опасности системным администраторам необходимо обновить систему и установить надежный пароль для AMT на всех машинах.

Категории: Главное, Уязвимости