Splinternieuw Intel-lek treft zakelijke pc's
Intel wordt werkelijk afgeranseld door beveiligingslekken de laatste dagen. Onderzoekers van F Secure ontdekten pas een nieuwe kwetsbaarheid in workstations met Intel Core i vPro-cpu’s of bepaalde Xeon-processors. Het probleem is gelukkig lang niet zo groot als bij Spectre of Meltdown, maar het illustreert dat Intel een diep probleem heeft met de beveiliging van zijn hardware.
Het nieuwe lek treft de Active Management Technology (AMT). AMT is een functie die ingebouwd zit in tal van zakelijk georiënteerde processors. De technologie laat administrators toe om computers van updates te voorzien, zelfs wanneer ze uitgeschakeld zijn. Zolang het systeem in het stopcontact zit en er netwerktoegang is, kan een admin updates uitrollen. AMT is vooral handig in grote bedrijfsomgevingen waar hardware centraal beheerd wordt. De functie werkt zelfs wanneer systemen zich op een fysiek andere locatie bevinden.
Bios-kwetsbaarheid
AMT is geen onderdeel van het Windows-besturingssysteem. De functie woont op Bios-niveau, wat niet alleen wil zeggen dat ze niet gepatcht kan worden met een Windows-update, maar ook dat een hacker die er in slaagt AMT te misbruiken meteen de controle krijgt over het hele toestel.
[related_article id=”173773″]
Hoewel AMT verregaande toegang verleent over de systemen waar het op aanwezig is, is het standaardwachtwoord van de functie doorgaans niet aangepast. Je kan inloggen op AMT met ‘admin’, wat in principe geen probleem hoeft te zijn. Om drastische wijzigingen aan te brengen op een systeem dat voldoende veilig is ingesteld, heb je immers het Bios-wachtwoord nodig. Om onduidelijke redenen laten de standaardinstellingen van AMT je echter toe om het Bios-wachtwoord te omzeilen. Wie via de Intel Management Engine Bios Extensie (MEBx) toegang zoekt, kan inloggen met ‘admin’.
Concreet kan een aanvaller met fysieke toegang tot een apparaat het systeem rebooten, via CTRL+P naar AMT navigeren, daar inloggen en de computer klaarzetten voor exploitatie van buitenaf. Fysieke toegang is dus wel vereist, waardoor dit beveiligingsprobleem niet op grote schaal zal uitgebuit worden (in tegenstelling tot Meltdown/Spectre). Het zijn vooral grote organisaties die steeds meer het doelwit worden van professionele aanvallen, ingegeven door (bedrijfs)spionage, die zich zorgen moeten maken.
Het hack is dus niet eenvoudig, maar de extra moeite levert voor een aanvaller wel een mooie bonus op. Een systeem dat gecompromitteerd is op Bios-niveau kan uitgebuit worden zonder dat er alarmbellen afgaan. Het wordt zelfs mogelijk om firmwaremalware te distribueren.
Onnodige achterpoort
In essentie heeft Intel zijn AMT voorzien van een achterpoort waarlangs een hacker doorgaans onfeilbare Bios-beveiliging kan passeren. Technisch gezien is het niet zo moeilijk om het probleem te mitigeren. Het IT-departement kan het AMT-wachtwoord van alle toestellen binnen de organisatie aanpassen. Het probleem hierbij is dat het ironisch genoeg niet vanzelfsprekend is om de vereiste instellingen vanop afstand aan te passen. AMT, dat net als bestaansreden heeft om remote management eenvoudiger te maken, vraagt hier net om een hands-on tussenkomst van IT.
[related_article id=”173828″]
F Secure geeft IT-beheerders die het probleem willen aanpakken nog mee om uiterst voorzichtig te zijn met systemen waarvan het AMT-wachtwoord al is veranderd naar een onbekende waarde. De kans dat die endpoints gekraakt zijn via bovenstaande methode, is dan immers heel erg groot.
Waar Spectre en Meltdown het gevolg zijn van een architecturaal probleem dat moeilijk te verhelpen is, lijkt dit probleem vooral het resultaat van slordigheid. De oplossing is immers doodeenvoudig: AMT mag het Bios-wachtwoord niet passeren. Door AMT-toegang aan het Bios-wachtwoord te koppelen, kan Intel het hele probleem op een elegante manier mitigeren.
https://www.smartbiz.be/achtergrond/173801/3-acties-die-je-als-administrator-kan-ondernemen-voor-meltdown-en-spectre/