Torna alla home
Torna alla home
.....
Open menu
Home
 
Search
 
MY
Articoli Salvati
 
Life
Smart Money
The Food Makers
Valore Responsabile
 
That's Round
Cover Story
 
Economy
Education
Impact
Lifestyle
Startup
Tech
 
Agenda
Bandi
Live TV
 
Unstoppable Women
Bandi Istruzioni per l'uso
Imprenditori Sostenibili
Investimenti Digitali E Cripto
 
SIOS
Shopping
 
STARTUPITALIA
Advisory Board
Area Investor
Lavora con noi
Chi siamo
I nostri autori
desc
TECH

Il nuovo attacco che aggira la password per accedere ai computer aziendali. L’analisi

 ⏱ Leggi in 3 min
  ⏱3 min read
TECH
Share article
Set prefered

Il nuovo attacco che aggira la password per accedere ai computer aziendali. L’analisi

Share article
Set prefered

Nuovi problemi di sicurezza potrebbero esporre milioni di macchine ad attacchi. Intel interviene per spiegare come difendersi da implementazioni scadenti della sua tecnologia

Nuovi problemi di sicurezza potrebbero esporre milioni di macchine ad attacchi. Intel interviene per spiegare come difendersi da implementazioni scadenti della sua tecnologia

Cybersecurity
author avatar
Pierluigi Paganini
15 gen 2018

Ancora un grattacapo per Intel, a pochi giorni dalle rivelazioni sugli attacchi Meltdown e Spectre: i ricercatori di sicurezza di F-Secure hanno scoperto un problema nell’implementazione adottata dagli OEM della tecnologia AMT (Advanced Management Technology) che può essere sfruttata dagli autori di attacchi remoti per accedere alla maggior parte dei laptop aziendali.

 

La tecnologia Intel Active Management Technology (AMT) è utilizzata per la gestione remota dei personal computer all’interno delle aziende al fine di poter monitorare, mantenere, aggiornare, e riparare in maniera agevole i sistemi di un’azienda. La tecnologia è implementata a livello chip e non dipende dal software o dal sistema operativo, attualmente è utilizzata da computer basati su processori Intel vPro-enabled e Workstation basate su processori Intel Xeon, ovvero la quasi totalità dei sistemi nelle aziende: la sua implementazione in ogni caso dipende dal singolo produttore delle macchine interessante, tenuti a seguire le linee guida di Santa Clara per l’adozione della tecnologia in modo sicuro. Linee guida che, fa sapere Intel, non sarebbero state rispettate.

L’attacco

“Nel luglio del 2017, Harry Sintonen, uno dei Senior Security Consultants di F-Secure, ha scoperto un comportamento predefinito non sicuro e fuorviante all’interno della tecnologia Intel Active Management (AMT)” si legge nell’analisi pubblicata da F-Secure. L’attacco è subdolo e non particolarmente complesso da implementare, un utente malintenzionato con accesso locale alla macchina potrebbe predisporlo per il controllo remoto attraverso la tecnologia AMT: in questo modo potrebbe ottenere l’accesso remoto completo a una rete aziendale pur non avendo competenze specifiche.

 

Il problema potrebbe essere sfruttato dall’attaccante per bypassare ogni tipo di autenticazione presente sulla macchina e abilitare l’amministrazione remota attraverso ATM da sfruttare in un secondo momento. Ciò significa che, anche proteggendo il BIOS con una password, è possibile accedere all’estensione del BIOS AMT, l’estensione del BIOS di Intel Management Engine (MEBx), protetta da una password predefinita di “admin” che nella quasi totalità dei casi le imprese non cambiano.

 

Intel è intervenuta sulla questione per chiarire le dinamiche che stanno dietro questa vicenda, chiarendo che in questo caso non avrebbe responsabilità: “Apprezziamo che la community degli esperti di sicurezza abbia richiamato l’attenzione sul fatto che alcuni produttori di dispositivi non abbiano configurato i loro sistemi per proteggere l’Intel Management Engine BIOS Extension (MEBx) – recita una dichiarazione ufficiale del chipmaker – Abbiamo pubblicato linee guida sulle migliori pratiche di configurazione nel 2015 con aggiornamenti nel novembre 2017, e incoraggiamo fortemente gli OEM a configurare i loro sistemi per massimizzare la sicurezza. Non c’è priorità più elevata per Intel della sicurezza dei propri clienti, e continueremo regolarmente ad aggiornare le linee guida per i produttori di dispositivi per assicurarci che abbiano le migliori informazioni su come rendere sicuri i propri dati”.

 

In altre parole: se manca la password che dovrebbe proteggere le impostazioni a livello di BIOS, dice Intel, è una scelta legata all’implementazione dell’AMT fatta dal singolo produttore. Intervenire per impostarla, o comunque prevedere di modificarla, è un’indicazione chiaramente espressa nelle linee guida scritte a Santa Clara.

I passaggi principali

Vediamo in dettaglio i principali passi di un attacco che intende sfruttare l’AMT come vettore.

  1. L’attaccante con accesso fisico alla macchina in fase di reboot preme la combinazione di tasti CTRL-P per accedere all’estensione BIOS dell’AMT, anche nota come Management Engine BIOS extension
  2. Una volta all’interno dell’AMT, l’utente malintenzionato può accedere con la password predefinita “admin”. L’AMT richiederà quindi all’attaccante di inserire una nuova password, che potrà successivamente utilizzare per accedere al sistema in remoto
  3. Dopo aver immesso la nuova password, l’attaccante configura l’AMT per consentire l’accesso alla rete remota
  4. Di default l’accesso all’AMT è limitato alle connessioni cablate (Ethernet), ma l’attaccante può anche abilitare in questa fase un accesso wireless
  5. L’attaccante può ora connettersi al sistema compromesso da remoto. La connessione effettiva può essere eseguita con il Manageability Commander Tool utilizzando la password settata in precedenza
  6. Una volta effettuato l’accesso, il sistema può essere controllato completamente attraverso l’applicazione Virtual Network Computing (VNC)

“La configurazione è semplice: un utente malintenzionato inizia riavviando la macchina bersaglio, dopodiché entra nel menu di avvio. In una situazione normale, un intruso si sarebbe fermato qui: non conoscendo la password del BIOS, non possono realmente fare nulla di dannoso per il computer” continua l’analisi pubblicata da F-Secure. “In questo caso, tuttavia, l’attaccante ha una soluzione alternativa: AMT. Selezionando l’Intel Management Engine BIOS Extension (MEBx), può accedere utilizzando la password predefinita “admin”, poiché probabilmente non è stata modificata dall’utente. Modificando la password predefinita, abilitando l’accesso remoto e impostando l’opzione di attivazione dell’utente di AMT su “Nessuno”, un criminale informatico dal dito veloce ha effettivamente compromesso la macchina”.

I ricercatori di F-Secure hanno sottolineato che non è così complicato per un abile attaccante condurre un attacco anche attraverso una connessione in un luogo pubblico: qui potrebbe avvicinare la vittima, distraendola, e guadagnando poche decine di secondi per attivare l’accesso remoto via AMT.

Come evitare l’attacco

F-Secure ha fornito utili raccomandazioni per mitigare questo tipo di attacco, ad esempio di abilitare AMT solo per quei dispositivi che lo richiedono e comunque utilizzare password complesse per l’accesso all’estensione BIOS AMT. Non solo, è opportuno anche che gli amministratori di rete delle aziende procedano a una valutazione del parco macchine cercando quali tra esse conservano ancora la password di default per l’accesso all’estensione AMT.

 

Per coloro che volessero maggiori dettagli ho preparato un video in italiano in cui cerco di riassumere quanto scoperto da F-Secure:

 

Tags: #ADMIN #AMT #CYBERSECURITY #F-SECURE
Iscriviti alla newsletter di SI

Info, networking, best practice sull'innovazione digitale in Italia.

Home
Il magazine dell'innovazione e delle startup italiane
facebook
twitter
instagram
linkedin

 

LifeValore ResponsabileSmart MoneyThe food makers

 

TechEconomyEducationLifestyleStartupImpact

StartupItalia

Advisory BoardArea InvestorSIOSShoppingAgendaBandiLavora con noi
loading autori
StartupItalia! è una testata registrata presso il tribunale di Roma n. 167/2012
StartupItalia! SRL, Cagliari, Via Sassari 3, 09123, PIVA 13733231008, REA - CA - 352408, Capitale Sociale: € 28.924,60, PEC startupitalia (at) legalmail.it
Privacy 
|
 Cookie 
|
 Change privacy settings
Torna alla home
Life
Smart Money
The food makers
Valore Responsabile
That's Round
Cover Story
Economy
Education
Impact
Lifestyle
Startup
Tech
Agenda
Bandi
LIVE TV
SIOS
Shopping
RUBRICHE
Unstoppable Women
Bandi Istruzioni per l'uso
Imprenditori Sostenibili
Investimenti Digitali E Cripto
MY
Articoli Salvati
STARTUPITALIA
Advisory Board
Area Investor
Lavora con noi
Chi siamo