Il nuovo attacco che aggira la password per accedere ai computer aziendali. L’analisi

Ancora un grattacapo per Intel, a pochi giorni dalle rivelazioni sugli attacchi Meltdown e Spectre: i ricercatori di sicurezza di F-Secure hanno scoperto un problema nell’implementazione adottata dagli OEM della tecnologia AMT (Advanced Management Technology) che può essere sfruttata dagli autori di attacchi remoti per accedere alla maggior parte dei laptop aziendali.

La tecnologia Intel Active Management Technology (AMT) è utilizzata per la gestione remota dei personal computer all’interno delle aziende al fine di poter monitorare, mantenere, aggiornare, e riparare in maniera agevole i sistemi di un’azienda. La tecnologia è implementata a livello chip e non dipende dal software o dal sistema operativo, attualmente è utilizzata da computer basati su processori Intel vPro-enabled e Workstation basate su processori Intel Xeon, ovvero la quasi totalità dei sistemi nelle aziende: la sua implementazione in ogni caso dipende dal singolo produttore delle macchine interessante, tenuti a seguire le linee guida di Santa Clara per l’adozione della tecnologia in modo sicuro. Linee guida che, fa sapere Intel, non sarebbero state rispettate.

L’attacco

“Nel luglio del 2017, Harry Sintonen, uno dei Senior Security Consultants di F-Secure, ha scoperto un comportamento predefinito non sicuro e fuorviante all’interno della tecnologia Intel Active Management (AMT)” si legge nell’analisi pubblicata da F-Secure. L’attacco è subdolo e non particolarmente complesso da implementare, un utente malintenzionato con accesso locale alla macchina potrebbe predisporlo per il controllo remoto attraverso la tecnologia AMT: in questo modo potrebbe ottenere l’accesso remoto completo a una rete aziendale pur non avendo competenze specifiche.

Il problema potrebbe essere sfruttato dall’attaccante per bypassare ogni tipo di autenticazione presente sulla macchina e abilitare l’amministrazione remota attraverso ATM da sfruttare in un secondo momento. Ciò significa che, anche proteggendo il BIOS con una password, è possibile accedere all’estensione del BIOS AMT, l’estensione del BIOS di Intel Management Engine (MEBx), protetta da una password predefinita di “admin” che nella quasi totalità dei casi le imprese non cambiano.

Intel è intervenuta sulla questione per chiarire le dinamiche che stanno dietro questa vicenda, chiarendo che in questo caso non avrebbe responsabilità: “Apprezziamo che la community degli esperti di sicurezza abbia richiamato l’attenzione sul fatto che alcuni produttori di dispositivi non abbiano configurato i loro sistemi per proteggere l’Intel Management Engine BIOS Extension (MEBx) – recita una dichiarazione ufficiale del chipmaker – Abbiamo pubblicato linee guida sulle migliori pratiche di configurazione nel 2015 con aggiornamenti nel novembre 2017, e incoraggiamo fortemente gli OEM a configurare i loro sistemi per massimizzare la sicurezza. Non c’è priorità più elevata per Intel della sicurezza dei propri clienti, e continueremo regolarmente ad aggiornare le linee guida per i produttori di dispositivi per assicurarci che abbiano le migliori informazioni su come rendere sicuri i propri dati”.

In altre parole: se manca la password che dovrebbe proteggere le impostazioni a livello di BIOS, dice Intel, è una scelta legata all’implementazione dell’AMT fatta dal singolo produttore. Intervenire per impostarla, o comunque prevedere di modificarla, è un’indicazione chiaramente espressa nelle linee guida scritte a Santa Clara.

I passaggi principali

Vediamo in dettaglio i principali passi di un attacco che intende sfruttare l’AMT come vettore.

1. L’attaccante con accesso fisico alla macchina in fase di reboot preme la combinazione di tasti CTRL-P per accedere all’estensione BIOS dell’AMT, anche nota come Management Engine BIOS extension
2. Una volta all’interno dell’AMT, l’utente malintenzionato può accedere con la password predefinita “admin”. L’AMT richiederà quindi all’attaccante di inserire una nuova password, che potrà successivamente utilizzare per accedere al sistema in remoto
3. Dopo aver immesso la nuova password, l’attaccante configura l’AMT per consentire l’accesso alla rete remota
4. Di default l’accesso all’AMT è limitato alle connessioni cablate (Ethernet), ma l’attaccante può anche abilitare in questa fase un accesso wireless
5. L’attaccante può ora connettersi al sistema compromesso da remoto. La connessione effettiva può essere eseguita con il Manageability Commander Tool utilizzando la password settata in precedenza
6. Una volta effettuato l’accesso, il sistema può essere controllato completamente attraverso l’applicazione Virtual Network Computing (VNC)

“La configurazione è semplice: un utente malintenzionato inizia riavviando la macchina bersaglio, dopodiché entra nel menu di avvio. In una situazione normale, un intruso si sarebbe fermato qui: non conoscendo la password del BIOS, non possono realmente fare nulla di dannoso per il computer” continua l’analisi pubblicata da F-Secure. “In questo caso, tuttavia, l’attaccante ha una soluzione alternativa: AMT. Selezionando l’Intel Management Engine BIOS Extension (MEBx), può accedere utilizzando la password predefinita “admin”, poiché probabilmente non è stata modificata dall’utente. Modificando la password predefinita, abilitando l’accesso remoto e impostando l’opzione di attivazione dell’utente di AMT su “Nessuno”, un criminale informatico dal dito veloce ha effettivamente compromesso la macchina”.

I ricercatori di F-Secure hanno sottolineato che non è così complicato per un abile attaccante condurre un attacco anche attraverso una connessione in un luogo pubblico: qui potrebbe avvicinare la vittima, distraendola, e guadagnando poche decine di secondi per attivare l’accesso remoto via AMT.

Come evitare l’attacco

F-Secure ha fornito utili raccomandazioni per mitigare questo tipo di attacco, ad esempio di abilitare AMT solo per quei dispositivi che lo richiedono e comunque utilizzare password complesse per l’accesso all’estensione BIOS AMT. Non solo, è opportuno anche che gli amministratori di rete delle aziende procedano a una valutazione del parco macchine cercando quali tra esse conservano ancora la password di default per l’accesso all’estensione AMT.

Per coloro che volessero maggiori dettagli ho preparato un video in italiano in cui cerco di riassumere quanto scoperto da F-Secure: