被曝出严重的Meltdown和Spectre漏洞之后,近日英特尔处理器又被发现存在新的漏洞,该漏洞存在于主动管理技术(Active Management Technology,AMT)中,可让黑客完全控制用户的笔记本电脑。
英特尔技术中的误导性行为使得本地攻击者可以危害并控制工作笔记本电脑。
想象一下,如果有人有能力远程访问和操作你的笔记本电脑,而你却没有能力去做任何事情。相当吓人的想法,对吗》幸运的是,这是不可能发生的,只有在电影中才会有一些能够绕过强密码、防火墙和反恶意软件的黑客技巧。
只是有时候,电影会变成现实。在2017年7月,F-Secure的高级安全顾问之一Harry Sintonen发现了在英特尔的主动管理技术(AMT)内部的不安全和误导的默认行为。AMT是英特尔的专有解决方案,用于远程访问监视和维护公司级个人电脑,这是为了让IT部门或托管服务提供商更好地控制他们的设备机群。
AMT对安全漏洞并不陌生,许多其他研究人员在系统中发现了多个缺陷,但Sintonen的发现让他感到惊讶。安全问题似乎是直接从IT安全官员最糟糕的噩梦中直接出来的。
这种攻击看似简单,但却具有不可思议的破坏性。在实际操作中,即使是最广泛的安全措施,它也能让本地攻击者完全控制个人的工作笔记本电脑。
那么如何在实际加以利用呢?
这个问题允许本地入侵者在几秒钟内就可以将几乎所有电脑公司的笔记本电脑都攻破,即使BIOS的密码、TPM Pin、Bitlocker和登录凭证都已经设置就位。对,我们不是在瞎编。
设置很简单:攻击者从重新启动目标的机器开始,然后他们进入启动菜单。在正常情况下,入侵者会在这里停止;因为他们不知道BIOS的密码,所以他们不能做任何对电脑有害的事情。
然而,在这种情况下,攻击者有一个变通方法:AMT。通过选择Intel的管理引擎BIOS扩展(MEBx),他们可以使用默认密码“admin”登录,因为用户一般不会更改的这个密码。通过更改默认密码,启用远程访问,并将AMT的用户选择设置为“None”,一个快速的网络犯罪分子已经有效地损害了这台机器。现在,攻击者可以远程访问系统,只要他们能够将自己接入到受害者的同一个网络段(启用无线访问需要一些额外的步骤)。
尽管安全问题的成功破解需要物理上的接近,但对于熟练的攻击者来说,这可能并不像你想象的那样困难。Sintonen给出了一个可能的场景,使用了网络罪犯和白帽子团队的共同技术。
攻击者已经确定并找到了他们希望利用的目标。他们在公共场所(机场、咖啡厅或酒店大堂)接近目标,并采取“邪恶女仆”的方案。从本质上讲,一个攻击者分散了注意力,而另一个攻击者则短暂地获得了他或她的笔记本电脑的访问权限。这次攻击并不需要很多时间,整个过程需要一分钟就能完成,”Sintonen说。
视频:A Security Issue in Intel’s Active Management Technology (AMT)
https://v.qq.com/x/page/n1331vxr2lh.html
应对这个问题
尽管可靠的操作安全是第一步(不要把你的笔记本电脑放在不安全的位置上!),但是有一些基本的保障措施是IT部门应该执行的。系统准备过程需要更新,包括为AMT设置一个强大的密码,或者如果可能的话,完全禁用它。还应该遍历所有部署的机器,并组织相同的过程。英特尔自己提出的以安全方式使用AMT的建议遵循类似的逻辑。
现在,这可能比听起来更困难。IT部门可能会发现,要在很大程度上解决这个问题变得越来越棘手,因为所需的更改可能难以远程执行(具有讽刺意味的是)。在大多数情况下,对受影响的设备进行大规模的重新配置是解决AMT问题的唯一方法,对于一个大型的全球性组织来说,这并不有趣。我们的建议是远程查询受影响资产的数量,并设法将列表缩小到一个更易于管理的数字。具有Microsoft环境和域连接设备的组织也可以利用系统中心配置管理器来管理AMT。
最重要的是:如果AMT密码在用户的笔记本上被设置为未知值,那么考虑设备可疑并启动事件响应。网络安全第一规则,不比冒不必要的风险。