F-Secure突出了另一个关键的英特尔安全问题
在安全公司F-Secure的研究人员警告说,英特尔的主动管理技术(AMT)中的Inecure默认允许入侵者在30秒内完全绕过最新的登录凭据。
此问题允许任何对笔记本电脑进行物理访问的人来绕过需要输入凭据,包括用户,BIOS和BitLocker密码和TPM密码。
虽然AMT漏洞并不是新的,但研究人员说这个问题特别严重,因为它会影响大多数英特尔笔记本电脑,可以使攻击者能够获得稍后的剥削的远程访问,并且特别容易利用。
在技术上,这不是一个漏洞,但研究人员表示,但默认密码的组合,不安全的默认配置和影响最大的行为,如果不是全部,那么支持英特尔管理引擎或英特尔AMT的笔记本电脑。
“安全问题几乎是易爆的漏洞利用,但它具有令人难以置信的破坏性潜力,”F-Secure的高级安全顾问哈里·辛顿表示,在2017年中期发现这一问题后调查了这个问题。
“在实践中,尽管甚至是最广泛的安全措施,但它可以让攻击者完全控制inpidual的工作笔记本电脑,”他补充说。
英特尔AMT旨在实现企业级个人计算机的远程访问监控和维护,通常由IT部门或托管服务提供商用于管理设备。
在安全问题的核心中,设置BIOS密码通常可以防止未经授权的用户启动设备或对其进行低级更改,不会阻止未经授权访问AMT BIOS扩展。
“这允许攻击者访问突出的AMT并使远程利用成为可能,”Sintonen说。“要利用这一点,所有攻击者都需要做的是重启或上电目标机器,并在启动期间按Ctrl-P。”
这将允许任何攻击者使用默认密码“admin”登录英特尔管理发动机BIOS扩展(MEBX),因为此默认值可能在大多数公司笔记本电脑上保持不变。然后,攻击者可能会更改默认密码,启用远程访问,并将AMT的用户选择Opt-进入“None”。
攻击者现在可以从两个无线和有线网络远程访问系统,只要它们能够将自己与受害者插入与受害者的同一网络段“。也可以通过攻击者操作的CIRA(客户端启动的远程访问)服务器外部的本地网络外部访问设备。
Sintonen表示,虽然初始攻击需要物理访问,所以可以进行的速度使其变得容易利用。
“如果您在您的酒店房间留下饮料时留在酒店房间,攻击者可以在不到一分钟内突破您的房间,并在不到一分钟内突出笔记本电脑,现在他或她可以在使用笔记本电脑时访问您的桌面酒店,“他说。
“由于计算机连接到您的公司VPN [虚拟专用网络],攻击者可以访问公司资源。”
Sintonen表示,即使在机场或咖啡店的笔记本电脑上分散了一分钟的注意力,足以让攻击者能够进入目标机器。
F-Secure已通知英特尔,所有相关的设备制造商和美国的Cert-Conoratinal Center关于安全问题。
虽然英特尔建议供应商要求BIOS密码提供英特尔AMT,并为AMT提供了一个关于安全最佳实践的问答,F-Secure表示,AMT安全的其他英特尔指南对现实世界的安全性没有预期的影响企业笔记本电脑。
F-Secure表示,它遇到了这个问题的时间和时间,它需要紧急地解决,因为它在实际情况下在实际情况下,即使笔记本电脑否则完全硬化。
此问题在很大程度上是大多数企业的雷达,因为它没有CVE号,安全更新或新版本,但它会影响主要供应商和大量的笔记本电脑。
F-Secure表示,它突出了提高意识的问题,以便组织可以减轻这个问题并提高现实世界的安全性。它建议企业:
调整系统配置过程以包括设置强AMT密码,或完全禁用AMT。在可能的情况下,当订购新设备时,考虑是否在没有AMT的情况下订购它们,默认情况下,或者通过目前所有人禁用AMT。已部署的设备并突出AMT密码或禁用功能.Consider as可疑使用已将AMT密码设置为未知值的任何计算机,并启动适当的事件响应过程。在它们后立即更正所有受影响设备的问题纠正所有受影响的设备上的问题可用。所有最终用户永远不会让设备不安全地区的设备。英特尔通过称其“欣赏”安全研究界呼吁关注某些系统制造商没有康明的事实来响应其“欣赏”的安全研究界,以保护其系统来保护英特尔MEBX。
“我们在2015年发布了有关最佳配置实践的指导,并于2017年11月更新,我们强烈地敦促OEM将其制度突出,以便最大化安全性,”该公司在一份声明中表示。
“英特尔没有比我们的客户的安全更高的优先权,我们将继续定期更新我们的系统制造商的指导,以确保他们有关于如何保护数据的最佳信息,”它添加了。
