Security-probleem in Intel Active Management Technology (AMT)
Soms gaat de realiteit je fantasie te boven. In juli 2017 ontdekte Harry Sintonen, een van de Senior Security Consultants van F-Secure, onveilig en misleidend standaardgedrag binnen Intel’s Active Management Technology (AMT). AMT is Intel’s eigen oplossing voor externe toegangsbewaking en onderhoud van zakelijke pc’s. Een oplossing die is gemaakt voor IT-afdelingen of managed service providers om alle apparaten te beheren die binnen een organisatie in gebruik zijn.
AMT is geen onbekende in de wereld van security-zwakheden. Veel andere onderzoekers hebben al tekortkomingen in het systeem gevonden. Maar de ontdekking van Sintonen verraste zelfs hem. Het beveiligingsprobleem lijkt iets dat rechtstreeks uit de ergste nachtmerries van security consultants komt.
“De aanval is bedrieglijk eenvoudig uit te voeren, maar kan ongelooflijk destructief zijn. In de praktijk kan het een lokale aanvaller volledige controle krijgt over de werklaptop van een individu, ondanks de meest uitgebreide beveiligingsmaatregelen,” zegt Sintonen.
Wat betekent dit in de praktijk?
Het probleem stelt een lokale indringer in staat bijna elke zakelijke laptop binnen enkele seconden binnen te dringen, zelfs als BIOS-wachtwoord, TPM-pin, Bitlocker en inloggegevens aanwezig zijn. Nee, we verzinnen dit niet.
De opzet is eenvoudig: een aanvaller start met het rebooten van de machine van het doelwit, waarna hij het opstartmenu opent. In een normale situatie zou een indringer hier worden gestopt; aangezien hij het BIOS-wachtwoord niet kent, kan hij niet echt iets schadelijks voor de computer doen.
Maar in dit geval heeft de aanvaller een oplossing: AMT. Door Intel’s Management Engine BIOS Extension (MEBx) te selecteren, kan hij inloggen met het standaardwachtwoord “admin”. Omdat dit hoogstwaarschijnlijk niet door de gebruiker is gewijzigd. Door het standaard wachtwoord te wijzigen, toegang op afstand mogelijk te maken en AMT’s gebruikersopt-in op “none” in te stellen, brengt elke cybercrimineel met snelle vingers de machine effectief in gevaar. De aanvaller kan nu op afstand toegang krijgen tot het systeem, zolang hij zich met het slachtoffer in hetzelfde netwerksegment bevindt. (Voor het inschakelen van draadloze toegang zijn enkele extra stappen nodig.)
Wil de aanvaller dit succesvol doen, dan vereist dat wel fysieke nabijheid. Maar dat is voor gevorderde aanvallers niet zo moeilijk te organiseren als je zou denken. Sintonen schetst een aannemelijk scenario, waarbij cybercriminelen en ‘red teams’ dezelfde technieken gebruiken.
“Aanvallers hebben een doelwit geïdentificeerd en gelokaliseerd. Ze naderen het doelwit op een openbare plaats – een luchthaven, een café of een hotellobby – en gebruiken een ‘evil maid’-scenario. Een aanvaller leidt het doelwit af, terwijl de ander snel toegang krijgt tot zijn of haar laptop. De aanval kost niet veel tijd, de hele operatie is in één minuut te voltooien,” zegt Sintonen.
Het probleem bestrijden
Hoewel solide operations security de eerste stap is om dit te bestrijden (laat je laptop nooit onbewaakt achter op een onveilige locatie!). Zijn er een paar basismaatregelen die alle IT-afdelingen moeten toepassen. Het systeemconfiguratieproces moet worden bijgewerkt om een sterk wachtwoord voor AMT in te stellen of, indien mogelijk, volledig uit te schakelen. IT moet ook alle machines doorlopen die op dat moment in gebruik zijn en dezelfde procedure voor die devices organiseren. Intel’s eigen aanbevelingen voor een veilig gebruik van AMT volgen eenzelfde logica.
Dit is moeilijker dan het klinkt. De vereiste veranderingen zijn -ironisch genoeg- op afstand moeilijk uitvoerbaar. Dat maakt het voor sommige IT-afdelingen lastig om het probleem op grote schaal op te lossen. In de meeste gevallen is een massale herconfiguratie van de getroffen apparaten de enige manier om met AMT-problemen om te gaan. Dat is niet leuk voor een grote, wereldwijde organisatie. Onze aanbeveling is om de getroffen items op afstand te doorzoeken en de lijst terug te brengen tot een beter beheersbaar aantal. Organisaties met Microsoft-omgevingen en apparaten die op een domein zijn aangesloten kunnen gebruikmaken van System Center Configuration Manager om AMT te voorzien.
Het belangrijkste: als het AMT-wachtwoord is ingesteld op een onbekende waarde op de laptop van een gebruiker, ga er dan vanuit dat het device verdacht is en start met incident response.
De belangrijkste regel in cybersecurity? Neem nooit onnodige risico’s.
Categorieën