Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
F-Secure rapporterer nu om en sikkerhedsbrist, der rammer stort set alle virksomheders bærbare pc'er, og gør det muligt for en hacker at få adgang til en enhed på mindre end 30 sekunder. Bristen gør det muligt for hackeren at omgå behovet for at indtaste login-informationer, herunder BIOS- og Bitlocker-adgangskoder og TPM-koder, og muliggør fjernadgang til senere angreb. Problemet ligger i Intels Active Management Technology (AMT) og påvirker potentielt millioner af bærbare computere på globalt plan.
Nem at udnytte
Sikkerhedsbristen "er næsten bedragerisk nemt at udnytte, men det har utroligt ødelæggende potentiale,” siger Harry Sintonen, som undersøgte bristen i sin rolle som Senior Security Consultant hos F-Secure. “I praksis kan det give en hacker fuldstændig kontrol over en persons arbejds-laptop, på trods af selv de mest omfattende sikkerhedsforanstaltninger."
Intel AMT er en løsning til overvågning og vedligeholdelse af virksomheders computere, der er skabt for at give it-afdelinger eller administrerede tjenesteudbydere bedre muligheder for at kontrollere deres enheder. Teknologien, som almindeligvis findes i bærbare pc'er, er også tidligere blevet kritiseret for sikkerhedsmæssige svagheder, men enkelheden i udnyttelsen af denne nye sikkerhedsbrist adskiller det fra alle tidligere situationer. På få sekunder kan man uden at skrive så meget som en enkelt linie kode få adgang til systemet.
Se Harry Sintonen fra F-Secure forklare situationen her:
[su_youtube url="https://www.youtube.com/watch?v=aSYlzgVacmw"]
Kræver fysisk adgang
Kernen i sikkerhedsproblemet er, at det at indstille et BIOS-kodeord, som normalt forhindrer en uautoriseret bruger i at starte enheden op eller lave ændringer på den, ikke forhindrer uautoriseret adgang til AMT BIOS-udvidelsen. Dette giver en angriber adgang til at konfigurere AMT og gøre fjernudnyttelse mulig.
For at udnytte dette skal angriberen blot genstarte eller tænde den udvalgte maskine og trykke CTRL-P under opstart. Angriberen kan derefter logge på Intel Management Engine BIOS Extension (MEBx) ved hjælp af standardadgangskoden, "admin", da denne standard sandsynligvis er uændret på de fleste firmabærbare. Den angribende part kan så ændre standardadgangskoden, aktivere fjernadgang og indstille AMTs bruger-opt-in til "None". Nu kan angriberen få fjernadgang til systemet fra både trådløse og kablede netværk, så længe de kan koble sig på samme netværkssegment som offeret. Adgang til enheden kan også være mulig fra et andet sted end det lokale netværk via en angriber-opereret CIRA-server.
Selv om det oprindelige angreb kræver fysisk adgang, forklarede Sintonen, at den hastighed, hvormed det kan udføres, gør det let at udnytte i et såkaldt “evil maid"-scenarie. "Du efterlader din bærbare computer på dit hotelværelse, mens du går ud for at få en drink. Angriberen bryder ind på dit værelse og konfigurerer din bærbare på mindre end et minut, og nu kan han eller hun få adgang til systemnet, når du bruger din bærbare computer på hotellets WLAN. Og eftersom computeren tilslutter sig din virksomheds VPN, kan angriberen få adgang til virksomhedens ressourcer.” Sintonen understreger, at det ikke kræver mere end et minuts distraktion fra din laptop i en lufthavn eller på en kaffebar for at have adgang til systemet.
Har været kendt siden i sommers
Sintonen stødte på problemet i juli 2017, og bemærker, at en anden forsker også nævnte det i en nyere forelæsning. Derfor er det især vigtigt, at organisationer kender til den usikre standard, så de kan løse det, før det begynder at blive udnyttet. En lignende sårbarhed er også tidligere blevet påpeget af CERT-Bund, men hvad angår USB-provisioning, fortæller Sintonen.
Problemet påvirker de fleste, hvis ikke alle, bærbare computere, der understøtter Intel Management Engine / Intel AMT. Det er ikke forbundet med de nyligt afslørede Spectre og Meltdown sårbarheder.
Sikkerhedsråd til ansatte
• Lad aldrig din bærbare computer stå uden opsyn på f.eks. et offentligt sted.
• Kontakt din it-service desk for at få ændret AMT-adgangskoden
• Hvis du administrerer din enhed på egen hånd, skal du ændre AMT-adgangskoden til en stærk en af slagsen, selvom du ikke har planer om at bruge AMT. Hvis der er mulighed for at deaktivere AMT, skal du gøre det. Hvis adgangskoden allerede er indstillet til et ukendt et, skal du overveje, om enheden allerede er kompromitteret.
Sikkerhedsråd til organisationer
• Juster systemleveringsprocessen til at indeholde en stærk AMT-adgangskode og deaktiver AMT, hvis denne mulighed er tilgængelig.
• Gå igennem alle aktuelt implementerede enheder og konfigurer AMT-adgangskoden. Hvis adgangskoden allerede er indstillet til en ny og ukendt en af slagsen, må det formodes, at enheden er kompromitteret, så sæt gang i jeres incident response procedure.
