F-Secure ha segnalato una problematica di sicurezza che riguarda la maggior parte dei notebook aziendali e che permette a un attaccante che abbia accesso fisico al dispositivo di creare una backdoor in meno di 30 secondi. Questo problema consente all’attaccante di poter fare a meno delle credenziali, incluse le password del BIOS e di Bitlocker e il PIN del TPM (Trusted Platform Module), e di ottenere accesso remoto per sfruttare quel dispositivo in un secondo momento.

La problematica è presente nell’Active Management Technology (AMT) di Intel e colpisce potenzialmente milioni di notebook nel mondo. La falla di sicurezza è piuttosto semplice da sfruttare, ma ha un potenziale distruttivo incredibile, visto che può fornire all’attaccante un controllo completo sul notebook aziendale di un utente, nonostante le più costose misure di sicurezza poste in essere.

Intel AMT è una tecnologia per la manutenzione e il monitoraggio di personal computer aziendali tramite accesso remoto, creata per permettere ai dipartimenti IT o ai fornitori di servizi gestiti (MSP) di controllare meglio le flotte di dispositivi. Questa tecnologia, che si trova comunemente nei notebook aziendali, è stata chiamata in causa in passato per alcuni punti deboli che presenta a livello di sicurezza, ma la semplicità con cui è possibile sfruttare questa nuova particolare problematica la distingue dai casi emersi in precedenza. Si tratta infatti di un punto debole che può essere sfruttato in pochi secondi senza dover scrivere una singola linea di codice.

L’essenza di questo problema di sicurezza sta nel fatto che impostare una password del BIOS, in modo da evitare che un utente non autorizzato possa avviare il dispositivo o apportarvi modifiche a basso livello, non previene accessi non autorizzati all’estensione BIOS per la configurazione dell’AMT. Questo permette a un attaccante di riconfigurare l’AMT e rendere il dispositivo vulnerabile da remoto.

Tutto ciò che un malintenzionato deve fare è riavviare o accendere il computer preso di mira e premere CTRL-P durante il riavvio. L’attaccante poi può loggarsi in Intel Management Engine BIOS Extension (MEBx) usando la password di default “admin”, poiché questa password non viene quasi mai cambiata sulla maggior parte dei notebook aziendali. Può poi cambiare la password, abilitare l’accesso remoto e impostare l’opt-in dell’utente di AMT su Nessuno.

Intel AMT

L’attaccante può quindi ottenere accesso remoto al sistema sia da reti wireless che cablate, finché è capace di inserirsi sullo stesso segmento di rete della vittima. Un accesso al dispositivo è anche possibile dall’esterno rispetto alla rete locale attraverso un server CIRA (Client Initiated Remote Access) comandato dall’attaccante.

Sebbene l’attacco iniziale richieda un accesso fisico al dispositivo, la velocità con cui può essere compiuto lo rende facilmente eseguibile in uno scenario che in inglese viene definito evil maid. Immaginate ad esempio di lasciare il vostro notebook nella camera di un albergo mentre uscite per un drink. Un malintenzionato può entrare nella stanza e configurare il notebook in meno di un minuto: quando poi usate il notebook sulla rete wireless dell’hotel, l’attaccante ha accesso al vostro dispositivo.

La problematica, che non è correlata alle vulnerabilità Spectre e Meltdown recentemente scoperte, riguarda la maggior parte, se non tutti, i notebook che supportano Intel Management Engine/Intel AMT. Intel raccomanda ai vendor di richiedere la password del BIOS per il provisioning di Intel AMT. Tuttavia, molti produttori di dispositivi non seguono questo suggerimento.

F-Secure propone infine tre raccomandazioni per evitare di cadere vittime di questo genere di attacco.

– Cambiare la password AMT con una più forte, anche se non pensate di usare AMT. Se esiste un’opzione per disabilitare AMT, usatela.

– Regolare il processo di provisioning del sistema per includere l’impostazione di una password AMT avanzata e disabilitare AMT se è disponibile questa opzione.

– Controllare tutti i dispositivi attualmente in uso e configurare la password AMT. Se la password è già impostata su un valore sconosciuto, considerate questo dispositivo come sospetto e avviate una procedura di incident response.