Luka w technologii Intel AMT (Active Management Technology)

Od piątku (12 stycznia 2018) znów głośno o luce  intelowskiej technologii AMT (Active Management Technology). Firma F-Secure, produkująca oprogramowanie antywirusowe i świadcząca usługi z zakresu cyberbezpieczeństwa, zidentyfikowała problem związany z bezpieczeństwem tej technologii i – jak ostrzegają specjaliści – zagrożone są głównie laptopy biznesowe. Problem dotyczy większości laptopów obsługujących Intel Management Engine / Intel AMT i nie jest związany z ostatnio ujawnionymi lukami Spectre oraz Meltdown.

Technologia Intel Active Management jest funkcją procesorów Intel Core wyposażonych
w technologię Intel vPro oraz platform stacji roboczych opartych o wybrane procesory Intel Xeon. Technologia Intel AMT pozwala zdalnie wykrywać, naprawiać i chronić zasoby sieciowe,
a także konserwować urządzenia i bezprzewodowe zarządzanie urządzeniami pracowników mobilnych.

Już w maju 2017 roku świat obiegła informacja, że wiele procesorów Intela wyprodukowanych
od 2008 roku posiada krytyczną lukę bezpieczeństwa, niezależną od systemu czy programu antywirusowego. Została ona zgłoszona i załatana, jednak mimo wszystko wymagana jest interwencja użytkownika. Intel wydał nawet dedykowaną broszurę, w której opisuje najlepsze praktyki, jakie mają uchronić przed wykorzystaniem luki bezpieczeństwa. CERT PSE też zalecał wówczas m.in. instalację poprawki do urządzeń Siemens.

Specjaliści z F-Secure odkryli, że nadal jest to groźna podatność i wystarczy kilkadziesiąt sekund fizycznego dostępu do urządzenia. Wystarczy, że atakujący zrestartuje urządzenie, naciśnie klawisze CTRL+P podczas rozruchu, a następnie zaloguje się do Intel Management Engine BIOS Extension (MEBx), używając hasła „admin”, które jest ustawione jako domyślne
w większości biznesowych laptopów. Luka opiera się na tym, że ustawienie hasła do BIOS-u, zwykle uniemożliwiające nieautoryzowanemu użytkownikowi uruchomienie urządzenia lub wprowadzenie niskopoziomowych zmian, nie zapobiega uzyskaniu nieautoryzowanego dostępu do AMT BIOS Extension. Po uzyskaniu dostępu, haker może zmienić domyślne hasło, aktywować zdalny dostęp i wyłączyć konieczność wyrażania zgody na zdalną sesję poprzez zmianę opcji AMT „user opt-in” na „None”. Od tego momentu atakujący może uzyskiwać zdalny dostęp do systemu pod warunkiem, że jest zalogowany do tej samej sieci, z której korzysta ofiara. Cyberprzestępca jest w stanie sprawować pełną kontrolę nad laptopem pracownika, mimo że ten stosuje wszelkie zalecane środki bezpieczeństwa.

Pocieszające może być jedynie to, że – póki co – potrzebny jest chwilowy fizyczny dostęp
do komputera ofiary. W związku z tym nie należy zostawiać laptopa bez nadzoru, szczególnie
w miejscach publicznych. Zalecana jest również zmiana procesu konfigurowania systemów tak, aby obejmował ustawianie silnego hasła AMT lub wyłączenie AMT, jeśli taka opcja jest dostępna.