Arriva da F-Secure la segnalazione di una problematica che interessa la maggior parte dei notebook aziendali e che permette a un attaccante che abbia accesso fisico al dispositivo di creare una backdoor in meno di 30 secondi.
Questa vulnerabilità consente, senza dover scrivere una singola linea di codice, di aggirare le credenziali dell’utente, incluse le password del BIOS e di Bitlocker e il PIN del TPM (Trusted Platform Module) per ottenere accesso al dispositivo da remoto.
Semplice da sfruttare ma con una portata ampissima
La problematica è presente nell’Active Management Technology (AMT) di Intel, la tecnologia per la manutenzione e il monitoraggio di pc tramite accesso remoto, creata per permettere ai dipartimenti IT o ai fornitori di servizi gestiti (MSP) di controllare meglio le flotte di dispositivi.
La problematica riguarda la maggior parte, se non tutti, i notebook che supportano Intel Management Engine/Intel AMT. Non è, invece, correlata alle vulnerabilità Spectre e Meltdown recentemente scoperte.
“La problematica di sicurezza “è piuttosto semplice da sfruttare, ma ha un potenziale distruttivo incredibile – ha dichiarato Harry Sintonen Senior Security Consultant in F-Secure che ha condotto indagini in merito -. In pratica, può fornire all’attaccante un controllo completo sul notebook aziendale di un utente, nonostante le più costose misure di sicurezza poste in essere.”
L’essenza di questo problema di sicurezza sta nel fatto che impostare una password del BIOS – che solitamente evita che un utente non autorizzato possa avviare il dispositivo o apportarvi modifiche a basso livello – non previene accessi non autorizzati all’estensione BIOS per la configurazione dell’AMT. Questo permette a un attaccante di riconfigurare l’AMT e rendere il dispositivo vulnerabile da remoto.
Come funziona
Tutto ciò che un malintenzionato deve fare è riavviare o accendere il computer preso di mira e premere CTRL-P durante il riavvio. L’attaccante poi può loggarsi in Intel Management Engine BIOS Extension (MEBx) usando la password di default “admin”, poiché questa password non viene quasi mai cambiata sulla maggior parte dei notebook aziendali. Può poi cambiare la password, abilitare l’accesso remoto e impostare l’opt-in dell’utente di AMT su “Nessuno”.
L’attaccante può quindi ottenere accesso remoto al sistema sia da reti wireless che cablate, finché è capace di inserirsi sullo stesso segmento di rete della vittima. Un accesso al dispositivo è anche possibile dall’esterno rispetto alla rete locale attraverso un server CIRA (Client Initiated Remote Access) comandato dall’attaccante.
Nonostante l’attacco iniziale richieda un accesso fisico al dispositivo, la velocità con cui può essere compiuto lo rende facilmente eseguibile nel caso si perda di vista il proproio computer anche per pochi istanti: è sufficiente un minuto di distrazione da parte dell’utente in un aeroporto o in un bar per permettere a un attaccante di colpire il notebook incustodito.
Intel raccomanda ai vendor di richiedere la password del BIOS per il provisioning di Intel AMT. Tuttavia, molti produttori di dispositivi non seguono questo suggerimento.
Come proteggersi
Per difendersi F-Secure raccomanda agli utenti finali di non lasciare mai il notebook incustodito in uno spazio non sicuro come un luogo pubblico e di contattare sempre il proprio service IT per gestire il dispositivo.
Inoltre, di cambiare la password AMT con una più forte, anche se non si pensa di utilizzare AMT.
Alle organizzazioni F-Secure suggerisce di regolare il processo di provisioning del sistema per includere l’impostazione di una password AMT avanzata e di disabilitare AMT se è disponibile questa opzione.
A questo link è disponibile un video in cui Sintonen parla di questa problematica di sicurezza.