F-Secure: "Ernstige kwetsbaarheid in Intel's Active Management Technology"

Door , bron: F-Secure


Afgelopen weken is er veel te doen geweest omtrent een potentieel desastreuze bug in veel moderne processors. Feitelijk bestaat deze bug uit drie verschillende lekken; Meltdown (CVE-2017-5754), Spectre 1 (CVE-2017-5753) en Spectre 2 (CVE-2017-5715). Bij Meltdown is het voor programma's zonder adminrechten mogelijk om bij data te komen die dat wel vereisen, een bug die alleen werkend gedemonstreerd werd bij Intel-processors. Spectre 1 & 2 werken volgens een ander principe en zijn lastiger te benutten, maar maken het bijvoorbeeld ook mogelijk voor virtuele machines om data van een andere VM of het host-OS te bekijken. Naast Intel- zijn ook AMD- en ARM-processors hier vatbaar voor. De gifbeker in processorland bleek echter nog niet leeg te zijn, zo berichtten we vorige week over een beveiligingslek in AMD's Platform Security Processor. Deze week vallen de klappen echter weer in de hoek van Intel. Zo bericht F-Secure over een ernstige kwetsbaarheid in Intel's Active Management Technology (kortweg AMT), een oplossing die is gemaakt voor it-afdelingen of managed service providers om alle apparaten te beheren die binnen een organisatie in gebruik zijn.

Volgens F-Secure stelt het probleem een lokale indringer in staat om bijna elke zakelijke laptop binnen enkele seconden binnen te dringen. Het gaat als volgt; een aanvaller start met het rebooten van de machine van het doelwit, waarna hij het opstartmenu opent. In een normale situatie zou een indringer hier worden gestopt; aangezien hij het bios-wachtwoord niet kent. Echter, door Intel's Management Engine BIOS Extension (MEBx) te selecteren, kan hij inloggen met het standaardwachtwoord 'admin', omdat dit hoogstwaarschijnlijk niet door de gebruiker is gewijzigd. Door dit wachtwoord te wijzigen, toegang op afstand mogelijk te maken en AMT's gebruikersopt-in op 'none' te stellen kan er op die manier een gevaarlijke situatie ontstaan. De aanvaller kan nu toegang krijgen tot het systeem, zolang hij zich in hetzelfde netwerksegment bevindt.

Om problemen te voorkomen, raadt F-Secure allereerst aan om je laptop nooit onbewaakt achter te laten op een onveilige locatie. Zelfs even snel koffie halen in een hotel, op een vliegveld of in de bibliotheek is risicovol, aangezien de operatie binnen één minuut kan worden uitgevoerd. Daarnaast wordt aan it-afdelingen aangeraden om het systeemconfiguratieproces bij te werken en een sterk wachtwoord voor AMT in stellen, of indien mogelijk volledig uit te schakelen. Verder moeten alle machines die op dat moment in gebruik zijn worden doorlopen en hiervoor moet dezelfde procedure worden georganiseerd. Deze veranderingen zijn op afstand echter moeilijk uitvoerbaar, waardoor het voor it-afdelingen nog behoorlijk wat voeten in de aarde kan hebben om werknemers tegen de kwetsbaarheid te beschermen.


Vandaag in het nieuws

*