Intel CPU再爆新漏洞:数百万企业级笔记本遭殃

被曝出严重的Meltdown和Spectre漏洞之后,近日英特尔处理器又被发现存在新的漏洞,该漏洞存在于主动管理技术(Active Management Technology,AMT)中,可让***完全控制用户的笔记本电脑。

Intel CPU再爆新漏洞:数百万企业级笔记本遭殃


英特尔技术中的误导性行为使得本地***者可以危害并控制工作笔记本电脑。


想象一下,如果有人有能力远程访问和操作你的笔记本电脑,而你却没有能力去做任何事情。相当吓人的想法,对吗》幸运的是,这是不可能发生的,只有在电影中才会有一些能够绕过强密码、防火墙和反恶意软件的***技巧。


只是有时候,电影会变成现实。在2017年7月,F-Secure的高级安全顾问之一Harry Sintonen发现了在英特尔的主动管理技术(AMT)内部的不安全和误导的默认行为。AMT是英特尔的专有解决方案,用于远程访问监视和维护公司级个人电脑,这是为了让IT部门或托管服务提供商更好地控制他们的设备机群。


AMT对安全漏洞并不陌生,许多其他研究人员在系统中发现了多个缺陷,但Sintonen的发现让他感到惊讶。安全问题似乎是直接从IT安全官员最糟糕的噩梦中直接出来的。


这种***看似简单,但却具有不可思议的破坏性。在实际操作中,即使是最广泛的安全措施,它也能让本地***者完全控制个人的工作笔记本电脑。


那么如何在实际加以利用呢?


这个问题允许本地***者在几秒钟内就可以将几乎所有电脑公司的笔记本电脑都攻破,即使BIOS的密码、TPM Pin、Bitlocker和登录凭证都已经设置就位。对,我们不是在瞎编。


设置很简单:***者从重新启动目标的机器开始,然后他们进入启动菜单。在正常情况下,***者会在这里停止;因为他们不知道BIOS的密码,所以他们不能做任何对电脑有害的事情。


然而,在这种情况下,***者有一个变通方法:AMT。通过选择Intel的管理引擎BIOS扩展(MEBx),他们可以使用默认密码“admin”登录,因为用户一般不会更改的这个密码。通过更改默认密码,启用远程访问,并将AMT的用户选择设置为“None”,一个快速的网络犯罪分子已经有效地损害了这台机器。现在,***者可以远程访问系统,只要他们能够将自己接入到受害者的同一个网络段(启用无线访问需要一些额外的步骤)。


尽管安全问题的成功破解需要物理上的接近,但对于熟练的***者来说,这可能并不像你想象的那样困难。Sintonen给出了一个可能的场景,使用了网络罪犯和白帽子团队的共同技术。


***者已经确定并找到了他们希望利用的目标。他们在公共场所(机场、咖啡厅或酒店大堂)接近目标,并采取“邪恶女仆”的方案。从本质上讲,一个***者分散了注意力,而另一个***者则短暂地获得了他或她的笔记本电脑的访问权限。这次***并不需要很多时间,整个过程需要一分钟就能完成,”Sintonen说。


视频:A Security Issue in Intel’s Active Management Technology (AMT)

https://v.qq.com/x/page/n1331vxr2lh.html


应对这个问题


尽管可靠的操作安全是第一步(不要把你的笔记本电脑放在不安全的位置上!),但是有一些基本的保障措施是IT部门应该执行的。系统准备过程需要更新,包括为AMT设置一个强大的密码,或者如果可能的话,完全禁用它。还应该遍历所有部署的机器,并组织相同的过程。英特尔自己提出的以安全方式使用AMT的建议遵循类似的逻辑。


现在,这可能比听起来更困难。IT部门可能会发现,要在很大程度上解决这个问题变得越来越棘手,因为所需的更改可能难以远程执行(具有讽刺意味的是)。在大多数情况下,对受影响的设备进行大规模的重新配置是解决AMT问题的唯一方法,对于一个大型的全球性组织来说,这并不有趣。我们的建议是远程查询受影响资产的数量,并设法将列表缩小到一个更易于管理的数字。具有Microsoft环境和域连接设备的组织也可以利用系统中心配置管理器来管理AMT。


最重要的是:如果AMT密码在用户的笔记本上被设置为未知值,那么考虑设备可疑并启动事件响应。网络安全第一规则,不比冒不必要的风险。

Intel CPU再爆新漏洞:数百万企业级笔记本遭殃

上一篇:OSD部署WindowsUWP安装包 - Intel Graphics Command Center


下一篇:KVM嵌套虚拟化