Intel AMTの脆弱性により、企業向けノートPCのログイン資格情報入力の迂回が可能に
Intel AMTのデフォルト設定の脆弱性により、攻撃者はユーザやBIOS、TPM、およびBitlockerのパスワードを完全に迂回しバックドアとして悪用することで、ほぼすべての企業向けノートPCに数秒で侵入することができます。
フィンランド、ヘルシンキ発 – 2018年1月12日:エフセキュアは、物理的にデバイスにアクセスした攻撃者が30秒以内にバックドアに侵入することを可能にするセキュリティ問題により、ほとんどの企業のノートPCが影響を受けると報告しました。この問題により、攻撃者はBIOS、Bitlocker、TPMのパスワードなどの資格情報の入力を迂回することができ、その後の攻略のためにリモートでアクセスすることが可能になります。この脆弱性は、Intelのアクティブ・マネジメント・テクノロジー(AMT)内に存在し、世界中の何百万ものノートPCに影響を及ぼす恐れがあります。
エフセキュアのシニアセキュリティコンサルタントとして、この問題を調査したHarry Sintonenは、「この脆弱性はとても簡単に悪用できてしまうのですが、その潜在的な威力は極めて破壊的です」と述べています。「実際、攻撃者は最も広範なセキュリティ対策が施されている個人の仕事用ノートPCでさえ、完全にコントロールすることができます」
Intel AMTは、企業向けノートPCに対するリモートアクセス監視とメンテナンスのためのソリューションで、IT部門やマネージドサービスプロバイダがデバイスフリートの管理機能を向上させることを目的に開発されました。この機能は、企業向けノートPCに広く採用されており、過去の脆弱性へ対応するために導入されましたが、今回の問題は、悪用方法が極めて単純であることがこれまでの脅威とは一線を画しています。この脆弱性は、1ラインのコードも必要とせず、わずか数秒で悪用される可能性があります。
このセキュリティ問題の本質は、通常は不正なユーザがデバイスを起動したり低レベルの変更を行ったりすることを防ぐことができるBIOSパスワードを設定しても、AMT BIOS Extensionへの不正アクセスを防ぐことができないことにあります。これにより、攻撃者は侵入してAMTを設定してリモートからの攻略を可能にすることができます。
攻撃者がこの脆弱性を悪用するのに必要なことは、標的のマシンを再起動するか電源を入れて、起動中にCTRL-Pを押すだけです。攻撃者は、ほとんどの企業向けノートPCで変更することなく使われているデフォルトのパスワード「admin」を使用して、Intel Management Engine BIOS Extension(MEBx)にログインします。そして、デフォルトのパスワードを変更してリモートアクセスを有効にし、AMTのユーザオプトインを「なし」に設定します。このようにして攻撃者は、被害者と同じネットワークセグメントにいる限り、ワイヤレスネットワークと有線ネットワークの両方からシステムにリモートアクセスすることができるようになります。デバイスへのアクセスは、攻撃者が運用するClient Initiated Remote Access(CIRA)サーバ経由でローカルネットワークの外部からも可能です。
攻撃を開始するためには、まずノートPCに物理的にアクセスすることが必要となりますが、Sintonenは、いわゆる「Evil Maid(メイド攻撃)」の手法によって、あっという間に悪用可能になると説明しています。あなたはホテルの部屋にノートPCを残したまま飲みに出かけるとします。すると攻撃者は部屋に侵入し、1分もかからずにノートPCを設定します。その後、あなたがホテルのWLANでノートPCを使用すると、攻撃者があなたのデスクトップにアクセスできるようになります。さらに、デスクトップがあなたの会社のVPNに接続しているので、会社のリソースにアクセスすることが可能になるのです」。Sintonenは、空港や喫茶店でノートPCから僅か1分間離れただけでも、被害にあうことになると指摘しています。
Sintonenは2017年7月にこの問題に遭遇し、別の研究者*も最近の講演でこの問題について言及していると述べています。企業・組織はデフォルトのままでは安全ではないことを認識して、悪用される前に変更することが特に重要です。Sintonenによると、以前、同様の脆弱性がCERT-Bundによって指摘されていますが、それはUSBプロビジョニングに関するものとのことです。
この問題は、すべてではないにしても、ほとんどのIntel Management Engine/Intel AMTをサポートするノートPCに影響を与えます。これは、最近発見されたスペクターやメルトダウンの脆弱性とは無関係です。
Intelは、ベンダーに対してIntel AMTをプロビジョニングするためにはBIOSパスワードを要求することを推奨しています。しかし、多くのデバイスメーカーはこのアドバイスに従っていません。このトピックに関して、Intelが2017年12月に公開したアドバイザリーについては、「Intel Active Management Technologyのセキュリティベストプラクティに関するQ&A」を参照してください。
推奨事項
エンドユーザーに対して
- ノートPCを公共の場所などの安全でない所に置いたまま、その場から離れないでください。
- デバイスを取り扱うには、ITサービスデスクにお問い合わせください。
- 個人で自分のデバイスを使っている場合は、AMTを使用する予定がなくても、そのパスワードを破られにくいものに変更しておきましょう。AMTを無効にするオプションがある場合は無効化してください。パスワードがすでに不明な文字列に設定されている場合は、そのデバイスへの侵入を疑ってかかる必要があります。
組織に対して
- 強力なAMTパスワードを設定することを含め、システムプロビジョニングプロセスを調整し、AMTを無効にするオプションがある場合は無効にします。
- 現在導入されているすべてのデバイスを調査して、AMTパスワードを設定します。パスワードがすでに不明な文字列に設定されている場合は、デバイスへの侵入を疑って、インシデント対応手順を開始します。
*Parth Shukla、Google、2017年10月「Intel AMT:マシンでのGhostの使用と悪用(英語)」
カテゴリ