[Actualizada] Intel AMT tiene una brecha de seguridad, millones de portátiles corporativos son vulnerables

Actualización: Intel nos ha mandado el siguiente comunicado ligado con las declaraciones de F-Secure.

“Agradecemos a la comunidad de expertos en seguridad que llame la atención sobre el hecho de que algunos fabricantes de sistemas no han configurado sus sistemas para proteger la Extensión de BIOS de Intel Management Engine (MEBx). En 2015 emitimos una guía sobre las mejores prácticas de configuración que fue actualizada en noviembre de 2017, e instamos encarecidamente a los OEM a configurar sus sistemas para maximizar la seguridad. En Intel nuestra mayor prioridad es la seguridad de nuestros clientes, y continuaremos actualizando regularmente nuestra guía a los fabricantes para asegurarnos de que tengan la mejor información sobre cómo proteger sus datos”.

  • No se trata de un problema técnico de la tecnología AMT de Intel.

  • La tecnología Intel Active Management (Intel AMT) es una característica de los procesadores Intel Core con tecnología Intel vPro1.2 y estaciones de trabajo basadas en procesadores Intel Xeon seleccionados. Intel AMT utiliza capacidades de plataforma integradas y aplicaciones populares de administración y seguridad de terceros para permitir que los proveedores de TI o de servicios gestionados descubran, reparen y ayuden a proteger mejor sus activos informáticos en red. Intel AMT también ahorra tiempo con mantenimiento remoto y capacidad de administración inalámbrica para el impulso de la movilidad en el entorno laboral y borrado seguro de unidades para simplificar las transiciones del ciclo de vida del PC.

  • La configuración del Intel Management Engine BIOS Extension (MEBx) se utiliza para activar o desactivar Intel AMT y configurarlo.

  • Intel recomienda que el acceso a MEBx esté protegido por la contraseña del BIOS que protege otras configuraciones del BIOS.

  • La nueva investigación indica que algunos fabricantes de sistemas no requerían una contraseña del BIOS para acceder a MEBx. Como resultado, una persona no autorizada con acceso físico a un ordenador en el cual el acceso a MEBx no está restringido, y en la que AMT ofrece una configuración predeterminada de fábrica, podría alterar sus configuraciones de AMT.

  • Al descubrir esta potencial configuración incorrecta, Intel recomendó en 2015 que los fabricantes de sistemas brindaran una opción del BIOS del sistema para desactivar el aprovisionamiento USB y establecer el valor “deshabilitado” de forma predeterminada. Esto también ayuda a asegurar que el acceso a MEBx sea más controlado.

  • En 2015 emitimos una guía sobre las mejores prácticas de configuración que fue actualizada en noviembre de 2017, e instamos encarecidamente a los OEM a configurar sus sistemas para maximizar la seguridad

  • Actualizamos regularmente nuestra guía a los fabricantes de sistemas para asegurarnos de que tengan la mejor información. Puedesencontrar más sobre esto en las mejores prácticas de seguridad de AMT.

Historia original

 

Vaya inicio de 2018, si no teníamos suficiente con las vulnerabilidades de Spectre y Meltdown que afectan de forma directa a la arquitectura de la compañía, ahora esta ha anunciado que su Tecnología de Gestión Activa (Intel AMT) cuenta con una brecha de seguridad que permite a los atacantes omitir las credenciales de inicio de sesión con los procesadores Intel compatibles con la misma (procesadores Intel Core con tecnología Intel vPro y determinados Intel Xeon).

Por suerte, el acceso a esta vulnerabilidad se debe hacer de forma física, aunque con 1 minuto de tiempo ya es suficiente para poder controlar el equipo portátil de forma remota e incluso conectarse a la VPN de su compañía y acceder a sus recursos. Tocará esperar que Intel se pronuncie para dar a conocer cuando estará disponible una solución al problema.

Nota de Prensa vulnerabilidad Intel AMT

 

F-Secure informa un problema de seguridad que afecta a la mayoría de los ordenadores portátiles corporativos. Esta vulnerabilidad permite a un atacante con acceso físico a la puerta trasera del dispositivo acceder al mismo en menos de 30 segundos. El problema permite al atacante eludir la necesidad de ingresar credenciales, incluidas las contraseñas BIOS y Bitlocker y los pines TPM, pudiendo luego obtener acceso remoto para su posterior explotación. Este problema afecta a millones de ordenadores portátiles en todo el mundo.

El problema de seguridad “es casi engañosamente simple de explotar, pero tiene un increíble potencial destructivo“, dijo Harry Sintonen, quien investigó el tema en su papel de Consultor Senior de Seguridad en F-Secure. “En la práctica, puede dar a un atacante el control total sobre el portátil de trabajo de una persona, a pesar de que incluso las medidas de seguridad más amplias“.

Intel AMT es una solución para el monitoreo y mantenimiento de acceso remoto de ordenadores personales de nivel corporativo, creado para permitir que los departamentos de TI o los proveedores de servicios administrados controlen mejor las flotas de sus dispositivos. La tecnología, que se encuentra comúnmente en los equipos portátiles corporativos, se puede explotar en cuestión de segundos sin una sola línea de código.

La esencia del problema de seguridad es que la configuración de una contraseña del BIOS, que normalmente impide que un usuario no autorizado inicie el dispositivo o realice cambios de bajo nivel, no impide el acceso no autorizado a la extensión AMT BIOS. Esto permite que un atacante tenga acceso para configurar AMT y hacer posible la explotación remota.

Para explotar esto, todo lo que un atacante debe hacer es reiniciar o encender la máquina de destino y presionar CTRL-P durante el arranque. Luego, el atacante puede iniciar sesión en Intel Management Engine BIOS Extension (MEBx) usando la contraseña predeterminada, “admin“, ya que es muy probable que este valor predeterminado no se haya modificado en la mayoría de los equipos portátiles corporativos. El atacante puede cambiar la contraseña predeterminada, habilitar el acceso remoto y configurar la opción de usuario de AMT a “Ninguna”. El atacante ahora puede obtener acceso remoto al sistema desde redes inalámbricas y por cable, siempre que puedan insertarse en el mismo segmento de red con la víctima. El acceso al dispositivo también puede ser posible desde fuera de la red local a través de un servidor CIRA controlado por un atacante.

Aunque el ataque inicial requiere acceso físico, Sintonen explicó que la velocidad con la que se puede llevar a cabo hace que sea fácilmente explotable en el supuesto “malvado”. “Dejas tu ordenador portátil en la habitación de tu hotel mientras tomas una copa. El atacante irrumpe en tu habitación y configura tu ordenador portátil en menos de un minuto, y ahora puede acceder a tu ordenador con la conexión a Internet del Hotel. Y como el ordenador se conecta a la VPN de su compañía, el atacante puede acceder a los recursos de la compañía“. Sintonen señala que incluso un minuto de distracción al objetivo en un aeropuerto o cafetería es suficiente para causar el daño.

El problema afecta a todos los ordenadores que admitan la tecnología Intel Management Engine / Intel AMT. No está relacionado con las vulnerabilidades recientemente reveladas de Spectre y Meltdown.

Artículos relacionados