В Intel Active Management есть серьёзная уязвимость

AMT — собственное решение Intel, созданное для удалённого мониторинга и управления корпоративными ПК, сообщает "3Dnews".

Технология позволяет IT-подразделениям компаний или соответствующим службам лучше управлять парком машин в своём подчинении.

В AMT не впервые выявлены проблемы с безопасностью и множественные недостатки, но открытие Синтонена удивило его. Проблема напоминает что-то вроде худшего ожившего кошмара специалистов в IT-безопасности.

"Атака довольно проста для использования и при этом обладает невероятным разрушительным потенциалом. На практике это может дать локальному злоумышленнику полный контроль над рабочим ноутбуком человека, несмотря даже на самые серьёзные меры безопасности", — отметил он.

Проблема позволяет локальному злоумышленнику получить доступ к любому корпоративному ноутбуку буквально за секунды, даже если он защищён паролём через BIOS, использует TPM Pin, Bitlocker и запароленную учётную запись. Для осуществления атаки нужно перезагрузить целевую систему, после чего войти в меню загрузки. В обычной ситуации всё остановится на этом шаге, потому что понадобится пароль к BIOS.

В данном случае у злоумышленника есть обходной путь: AMT. Выбрав пункт Intel Management Engine BIOS Extension (MEBx), он может войти в систему, используя стандартный пароль "admin", поскольку пользователь, скорее всего, не изменял его. Изменив пароль по умолчанию, включив удалённый доступ и установив настройку "не спрашивать согласия пользователя на запуск AMT", кибер-преступник получает возможность полного беспрепятственного удалённого доступа к системе, если может подключиться в один и тот же сегмент сети (для беспроводного доступа требуется несколько дополнительных шагов).

Хотя успешное использование уязвимости требует короткого физического контакта преступника с атакованной системой, для квалифицированных злоумышленников организовать это может быть вовсе не так сложно, как можно себе представить. Гарри Синтонен рисует один из возможных сценариев (вполне в голливудском духе): "Злоумышленники выявили цель. Они приближаются к человеку в общественном месте — в аэропорту, кафе или вестибюле отеля, после чего разыгрывают сценарий „злая прислуга". Один из них отвлекает цель, в то время как другой на короткое время получает доступ к его или её ноутбуку. Атака не требует много времени — вся операция может занять до минуты".

Исправить проблему достаточно просто: нужно изменить стандартный пароль AMT. Для крупного предприятия такая процедура может оказаться весьма непростой. Возможно, Intel выпустит обновлённые прошивки, в которых доступ к настройкам AMT будет невозможно получить без знания пароля для входа в BIOS.

Фото: "3Dnews"