Zagrożone laptopy biznesowe

Zdjęcie

Zdj. Ilustracyjne

/© Glowimages

Analitycy F-Secure wykryli lukę w technologii Intel AMT (Active Management Technology), wykorzystywanej w milionach laptopów biznesowych, pochodzących od praktycznie wszystkich wytwórców. Konieczny jest do tego fizyczny dostęp do urządzenia i około 30 sekund czasu, ale niekonieczne jest wprowadzenie poświadczeń jak hasło do BIOS-u, Bitlockera, PIN do TPM by na stałe uzyskać zdalny dostęp.

- Uzyskanie dostępu do urządzenia wykorzystującego technologię Intel AMT jest zaskakująco proste, co może stanowić duże zagrożenie dla jej użytkowników. W praktyce cyberprzestępca jest w stanie sprawować pełną kontrolę nad służbowym laptopem pracownika, mimo że ten stosuje wszelkie środki bezpieczeństwa - stwierdza Harry Sintonen, starszy konsultant ds. bezpieczeństwa w F-Secure.

Intel AMT jest rozwiązaniem do zdalnego zarządzania i monitorowania komputerów osobistych klasy korporacyjnej. Ma ono zapewnić działom IT lub dostawcom usług lepszą kontrolę nad urządzeniami, ale już dawniej miała problemy z bezpieczeństwem. Tym razem ustawienie hasła do BIOS-u, powinno uniemożliwić nieautoryzowanemu użytkownikowi uruchomienie urządzenia lub wprowadzenie niskopoziomowych zmian, nie zapobiega uzyskaniu nieautoryzowanego dostępu do AMT BIOS Extension (MEBx). Możliwe jest skonfigurowanie AMT tak, aby możliwa była zdalna kontrola nad urządzeniem.

Aby uzyskać dostęp do laptopa, wystarczy uruchomić ponownie urządzenie i nacisnąć klawisze CTRL-P podczas rozruchu. Następnie haker może zalogować się do Intel Management Engine BIOS Extension (MEBx), używając hasła "admin", ustawionego jako domyślne w większości biznesowych laptopów. Potem wystarczy zmiana domyślnego hasła, aktywowanie zdalnego dostępu i wyłączenie konieczności wyrażania zgody na zdalną sesję poprzez zmianę opcji AMT user opt-in na none. Teraz już haker może uzyskiwać zdalny dostęp do laptopa przez dowolną sieć, ale musi być w tej samej sieci co ofiara.

- Załóżmy sytuację, że pracownik firmy zostawia laptopa w pokoju hotelowym i wychodzi. Haker włamuje się do pokoju i zmienia ustawienia komputera w niespełna minutę, po czym może uzyskać dostęp do pulpitu, kiedy pracownik korzysta z laptopa, łącząc się z bezprzewodową siecią hotelową. Ponieważ urządzenie łączy się z firmową siecią VPN, cyberprzestępca może uzyskać dostęp do zasobów przedsiębiorstwa. Wystarczy minuta nieuwagi na lotnisku lub w kawiarni, żeby haker przejął kontrolę nad laptopem - taki scenariusz przedstawia Harry Sintonen.

Odkrył on lukę w lipcu 2017 r., niezależnie z innym analitykiem. Wcześniej o podobnym zagrożeniu informowała wcześniej organizacja CERT-Bund, ale dotyczyło to zmian konfiguracji urządzenia za pomocą dysku USB. Intel zaleca, aby producenci wymagali podawania hasła do BIOS-u w celu skonfigurowania Intel AMT.

Analitycy F-Secure przedstawili zalecenia dla użytkowników końcowych. Jest to m.in. nie pozostawianie notebooka bez nadzoru, szczególnie w miejscach publicznych, konfiguracja tylko przez firmowy dział IT, ustawienie we własnym urządzeniu silnego hasła dla AMT, nawet jak się nie zamierza korzystać z tej technologii, lub wyłączenie AMT. W przypadku organizacji konieczne jest ustawienie silnych haseł dla AMT lub wyłączenie tej technologii oraz konfiguracja lub rekonfiguracja wszystkich firmowych laptopów.

MM