英特尔AMT安全漏洞可能让黑客抓住笔记本电脑的控制权

黑客基地联盟 2018-01-14

英特尔主动管理技术(AMT)远程访问监控和维护平台中的安全漏洞可能允许攻击者绕过登录并在笔记本电脑上放置后门,从而实现远程访问和操作机器。

英特尔主动管理技术(IntelAMT)通常在使用支持英特尔®博锐™处理器的计算机以及基于某些英特尔至强处理器

F-Secure的研究人员已经概述了这种漏洞的细节,这种漏洞可能导致干净的设备在一分钟内受到攻击,并可能绕过BIOS密码,TPMPin,BitLocker和登录凭据。

高级安全顾问HarrySintonen表示:“攻击几乎看似简单,但却具有令人难以置信的破坏潜力。实际上,即使采取最广泛的安全措施,实际上也可以让本地攻击者完全控制个人的工作笔记本电脑。在F-安全。

这个漏洞与被发现嵌入到处理器的基本设计中的Specter和Meltdown安全漏洞无关,而且自1995年以来,大多数Intel处理器都以某种形式存在。

AMT攻击需要物理访问机器,但是如果笔记本电脑处于无人看管的状态,则其执行速度很容易被利用。

虽然设置BIOS密码通常可防止未经授权的用户启动设备或对其进行低级更改,但不会阻止对AMTBIOS扩展的访问,从而允许攻击者重新配置AMT并启用远程利用,如果默认密码不是没有改变。

攻击者可以从那里更改默认密码,启用远程访问,并将AMT的用户选择加入“无”,从而允许远程访问设备,而无需用户的知识或输入-只要他们可以把自己放在与受害者相同的网络上。然而,理论上可以通过攻击者构建的客户端启动远程访问(CIRA)服务器从本地网络外部监视设备。

虽然要求物理接近目标使攻击比远程攻击(例如钓鱼电子邮件)更困难,但想要破坏特定目标的熟练攻击者可以编排一个场景,让他们可以在短时间内使用设备他们需要。

Sintonen解释说:“基本上,一名攻击者分散注意力,另一名攻击者短暂地进入他或她的笔记本电脑。攻击不需要很多时间-整个操作可能需要一分钟时间才能完成。

另一个研究人员曾经披露过类似的攻击,而CERT-BUND也发现了类似的攻击,但是需要通过USB访问目标设备。

为了避免受到此类攻击,F-Secure建议系统配置应该要求为AMT使用强密码,并且如果任何密码被设置为未知值,则认为这是可疑的。同时,建议最终用户不要将笔记本电脑置于不安全的位置。F-Secure已经联系制造商了解这个问题。

英特尔公司一位发言人告诉ZDNet:“我们感谢安全研究界关注一些系统制造商没有配置他们的系统来保护英特尔管理引擎BIOS扩展(MEBx)的事实。

“我们在2015年发布了有关最佳配置实践的指导,并在2017年11月对其进行了更新,我们强烈建议原始设备制造商配置其系统以最大限度地提高安全性,这些最佳配置实践包括以最低权限访问,保留固件,安全软件和操作系统最新。”

相关推荐