Fácil como A, B, CTRL+P

Las fallas de seguridad actualizadas en la tecnología de administración activa (AMT) de Intel pueden ser explotadas por delincuentes para eludir las solicitudes de inicio de sesión en las computadoras portátiles.

Inseguros por defecto en Intel AMT permiten a un intruso eludir por completo las contraseñas de usuario y BIOS, y los PIN de TPM y Bitlocker para entrar en casi cualquier laptop corporativa en unos 30 segundos más o menos, según el negocio de seguridad F-Secure. El problema, que requiere acceso físico a una computadora específica para explotar, no está relacionado con las vulnerabilidades recientes de Spectre y Meltdown.

El problema afecta potencialmente a millones de computadoras portátiles en todo el mundo.

AMT ofrece monitoreo y mantenimiento de acceso remoto de computadoras personales de nivel corporativo, lo que permite la administración remota de activos. Las deficiencias en la tecnología se han descubierto antes (ejemplos aquí y aquí ), pero la última falla es sin embargo notable debido a la facilidad de explotación. “La debilidad se puede explotar en cuestión de segundos sin una sola línea de código”, informó F-Secure.

Establecer una contraseña de BIOS, que normalmente impide que un usuario no autorizado inicie el dispositivo o realice cambios de bajo nivel en él, no impide el acceso a la extensión AMT BIOS. Esto permite que un atacante tenga acceso para configurar AMT y hacer posible la explotación remota.

Trivial

Para eludir las solicitudes de contraseña, todo lo que un atacante debe hacer es encender la máquina de destino y presionar CTRL+P durante el arranque. Luego, el atacante puede iniciar sesión en Intel Management Engine BIOS Extension (MEBx) usando la contraseña predeterminada “admin”, ya que es muy probable que esto no se modifique en la mayoría de las computadoras portátiles corporativas. El atacante sería libre de cambiar la contraseña predeterminada, habilitar el acceso remoto y configurar la opción de usuario de AMT a “Ninguna”.

En este punto, el delincuente podría obtener acceso remoto al sistema siempre que puedan insertarse en el mismo segmento de red que la máquina de la víctima. El acceso al dispositivo también puede ser posible desde fuera de la red local a través de un servidor CIRA controlado por un atacante.

El problema de seguridad “es casi engañosamente simple de explotar, pero tiene un increíble potencial destructivo”, dijo Harry Sintonen, el asesor de seguridad senior de F-Secure que descubrió el descuido. “En la práctica, puede dar a un atacante el control total sobre el portátil de trabajo de una persona, a pesar de que incluso las medidas de seguridad más amplias”.

Aunque el ataque inicial requiere acceso físico, Sintonen explicó que la velocidad con la que se puede llevar a cabo hace que sea fácilmente explotable en el supuesto “malvado”. “Dejas tu laptop en la habitación de tu hotel mientras tomas un trago”, dijo. “El atacante irrumpe en su habitación y configura su computadora portátil en menos de un minuto, y ahora puede acceder a su escritorio cuando usa su computadora portátil en la WLAN del hotel. Y como la computadora se conecta a la VPN de su empresa, el atacante puede acceder recursos de la compañía “.

Los secuestros de computadoras portátiles en un aeropuerto o en una cafetería también pueden ser posibles en casos donde una marca deja el sistema desatendida o se distrae durante uno o dos minutos, tal vez por parte del cómplice del hacker.

Sintonen y sus colegas de F-Secure se han topado con el tema varias veces desde principios del verano del año pasado. Una vulnerabilidad similar, relacionada con el aprovisionamiento USB, fue descubierta previamente por CERT-Bund. El problema destacado por F-Secure es distinto de ese y de otros problemas recientes, confirmó la compañía, y se relaciona con la configuración insegura y la implementación de Intel AMT.

Una gran parte del problema es que las empresas no están siguiendo las recomendaciones de Intel en la práctica, dijo F-Secure, agregando que se estaba haciendo público para llamar la atención sobre el problema.

“Descubrimos el problema este verano y, desde que lo descubrimos, lo hemos encontrado en miles de computadoras portátiles”, dijo F-Secure a El Reg . “A pesar de que hay información disponible para los fabricantes sobre cómo prevenir esto, los fabricantes todavía no siguen las mejores prácticas, dejando un gran número de computadoras portátiles vulnerables. Las organizaciones y los usuarios tienen que protegerse contra esto, pero la mayoría no se da cuenta de que esto es un problema. Por eso es importante aumentar la conciencia pública “.

La investigación de F-Secure indica que algunos fabricantes de sistemas no requerían una contraseña del BIOS para acceder a MEBx. Como resultado, una persona no autorizada con acceso físico a una computadora en la cual el acceso a MEBx no está restringido, y en la cual AMT está en el valor predeterminado de fábrica, podría alterar sus configuraciones de AMT.

El Reg entiende que Intel comenzó a decirles a los fabricantes de sistemas que proporcionen una opción de BIOS del sistema para deshabilitar el aprovisionamiento USB y establecer el valor para inhabilitarlo de forma predeterminada en 2015. Esta guía (PDF) se actualizó y reiteró en noviembre pasado.

F-Secure informa que a pesar de toda esta guía, las configuraciones de Intel AMT inseguras siguen siendo generalizadas:

Si bien Intel ha escrito extensas guías sobre AMT, no han tenido el impacto deseado en la seguridad del mundo real de las computadoras portátiles corporativas.

El problema afecta a la mayoría, si no a todas, las computadoras portátiles que son compatibles con Intel Management Engine/Intel AMT. Chipzilla aconseja a los proveedores que soliciten la contraseña del BIOS cuando implementen AMT. Sin embargo, muchos fabricantes de dispositivos no siguen este consejo.

F-Secure recomienda a las empresas que ajusten el proceso de aprovisionamiento del sistema para incluir la configuración de una contraseña fuerte de AMT y la desactivación de AMT si esta opción está disponible. A continuación se muestra un video de F-Secure sobre sus hallazgos …®

Actualizado para agregar

Un vocero de Intel ha estado en contacto para decirnos: “Agradecemos a la comunidad de investigación de seguridad que llama la atención sobre el hecho de que algunos fabricantes de sistemas no han configurado sus sistemas para proteger la Extensión de BIOS de Intel Management Engine (MEBx).

“Emitimos una guía sobre las mejores prácticas de configuración en 2015 y la actualizamos en noviembre de 2017. Instamos encarecidamente a los OEM a configurar sus sistemas para maximizar la seguridad. Intel no tiene mayor prioridad que la seguridad de nuestros clientes, y continuaremos actualizando periódicamente nuestra guía a los fabricantes del sistema para asegurarse de que tengan la mejor información sobre cómo proteger sus datos “.