当英特尔正忙于推出针对“熔断”和“幽灵”漏洞之时,芬兰网络安全公司F-Secure 2018年1月12日发布报告称,发现英特尔主动管理技术(AMT)中存在安全漏洞,允许黑客绕过登录流程,并在30秒内完全控制目标设备,这项漏洞可能影响全球数百万台笔记本电脑。
英特尔AMT
英特尔AMT(Active Management Technology),即英特尔主动管理技术,它实质上是一种集成在芯片组中的嵌入式系统,不依赖特定的操作系统。该技术允许IT管理员远程管理和修复联网的计算机系统,而且实施过程对于服务对象是完全透明的,从而节省了用户的时间和计算机维护成本。
攻击者可能如何利用此次漏洞?
要成功利用这个漏洞,攻击者需对受影响的笔记本电脑进行物理访问,侵入系统后AMT会被重新配置,留下一和后门,之后攻击者便能够绕过输入登录凭证(包括用户名、BIOS和BitLocker密码以及TPM密码)的要求获取后续利用的远程访问权。
这个安全漏洞的本质在于设置BIOS密码,通常情况下,设置BIOS密码可防止未经授权的用户启动设备或更改启动项,但不会阻止未经授权的用户访问AMT BIOS扩展,这就允许攻击者访问配置AMT,并使远程利用成为可能。
攻击者只需重启或启动目标设备,并在启动时按下CTRL-P,然后使用默认密码(通常是“admin”,一般情况下,用户不太可能会修改这个密码)登录英特尔管理引擎BIOS扩展(MEBx)。此后,攻击者便可修改这个默认密码,启用远程访问,并将AMT的“User Opt-in”设置为“None”。这样一来,只要攻击者能与受害者处于同一网段,便能从无线和有线网络远程访问系统。攻击者也可通过其CIRA服务器(中转服务器),从局域网以外的地方访问目标设备。
F-Secure公司安全研究人员哈里·辛特伦表示,这个漏洞相当简单,但潜在破坏力让人难以置信。英特尔发言人表示2015年曾发布了最佳配置实践指南,该指南在2017年11月作了更新。但实际上,即使是实现了最佳安全操作,也无法阻止本地攻击者完全控制目标的笔记本电脑。
据研究人员称,新发现的这个漏洞与近日被曝的“熔断”和“幽灵”漏洞无关。
F-Secure建议用户修改笔记本电脑默认的AMT密码,设置一个密码等级更高的口令,或者直接禁用AMT,勿将笔记本电脑放置在无人看管的公共场所。