Bezpečnostní problém: spousta PC má výchozí známé heslo v Intel AMT
13.1.2018, Milan Šurkala, aktualita
Kolem společnosti Intel se točí několik bezpečnostních problémů. Po kauzách Meltdown a Spectre je tu sice pochopitelná, ale přesto nepříjemná vlastnost v Intel AMT, která dovoluje útočníkovi trvale převzít kontrolu nad postiženým počítačem.
Poslední dny plní stránky SHW informace o závažných chybách bezpečnosti v procesorech Intel (Meltdown), ale i jiných (Spectre nejen u Intelu, ale i u AMD nebo ARM). Opravy chyb mají bohužel významný dopad na výkon procesorů. To však bohužel zdaleka není všechno. U Intelu se totiž našel další závažný bezpečnostní problém (resp. praktika) v jeho technologii AMT (Active Management Technology). Nejhorší je, že na problém neplatí silná hesla a nemusí pomoct ani firewally ani jiná bezpečnostní opatření v počítači (Trusted Platform Module ani Bitlocker), tedy až na jednu výjimku, resp. jedno heslo.
Intel AMT dovoluje vzdálenou aktualizaci systémů, která administrátorům značně zjednodušuje práci. Není však zrovna ukázkou naprosto bezpečné technologie a nyní se ukázalo, že správci systémů mohou velmi snadno zapomenout na to, jak minimalizovat rizika při práci s ní. Je totiž náchylná na jeden velmi triviální typ útoku. Jediným menším štěstím je to, že vyžaduje fyzický přístup k počítači, nicméně samotné napadení je otázkou několika desítek sekund (stačí si např. jen odskočit na záchod ve vlaku nebo restauraci a nestřežit počítač). Útočníkovi stačí restartovat počítač, dostat se do bootovacího menu a ani nepotřebuje heslo do BIOSu, kterým konfigurace AMT není běžně chráněna. A to je právě ten hlavní problém, měla by být.
Stačí vyvolat Management Engine BIOS Extension (MEBx), do kterého většinou nikdo nezměnil heslo, a které je ve výchozím stavu "admin". Poté už útočníkovi jen stačí změnit heslo do AMT, povolit vzdálený přístup a pokud jsou počítače na stejné síti, snadno lze monitorovat napadený počítač.
Změna hesla pro AMT je v podstatě jediný způsob, jak zabránit útoku (spolu s neustálou fyzickou kontrolou počítače nebo úplným vypnutím AMT). Nejde tedy o problém samotného Intelu, ale uživatelů a jejich nedostatečné bezpečnostní politiky spočívající v ponechání výchozího hesla podobně, jako kdyby někdo nechal výchozí heslo např. u routeru. Jenže, kdo si má pamatovat všechny technologie, které vlastně jsou v počítači a mohou být otevřené k takovému útoku pomocí výchozího hesla?
Intel v dokumentaci k technologii (která byla updatována v listopadu 2017) výrobcům počítačů doporučuje, aby zabezpečili AMT právě např. heslem z BIOSu a nebylo tak volně přístupné a náchylné pro tento primitivní typ útoků. Samotnou chybu objevili výzkumníci z F-Secure již v červenci 2017.
