Stavolta Meltdown e Spectre non c’entrano, ma è ancora Intel a finire sul banco degli imputati. A mettere a rischio milioni di computer portatili aziendali che incorporano la tecnologia Intel Active Management è un semplice exploit realizzabile in meno di un minuto, scoperto dai ricercatori di F-Secure e reso pubblico ieri.
L’exploit consente a un malintenzionato, che abbia accesso fisico al computer anche solo per un minuto, di bypassare ogni controllo di credenziali d’ingresso, comprese le password del BIOS, di Bitlocker e il pin del TPM, e di attivare una backdoor da poter poi usare più tardi per avere accesso completo al PC e alle reti cui è collegato.
Secondo Harry Sintonen, senior security consultant di F-Secure, la falla “è incredibilmente semplice da sfruttare, e può dare all’attaccante controllo completo su un notebook aziendale, bypassando anche le più estensive misure di sicurezza”.
La tecnologia AMT per la gestione e il controllo remoto della diagnostica è stata introdotta da Intel nel 2004 sui processori per server (Xeon e Itanium 2) e in seguito è stata portata anche sui desktop, a partire dai processori Core 2 Duo Conroe, che hanno ricevuto la versione 2 della tecnologia. Oggi viene usata estesamente dalle aziende per il controllo delle flotte di notebook aziendali. Purtroppo, se una macchina dispone dell’AMT è a rischio exploit anche se la tecnologia non viene impiegata dall’azienda, perché AMT è abilitato di default.
Indice degli argomenti
Come funziona l’exploit
l problema nasce dal fatto che la password del BIOS, che impedisce a persone non autorizzate di apportare modifiche al boot del sistema, non copre l’estensione BIOS dell’AMT (Intel lo aveva chiesto ai vendor, ma sembra che quasi nessuno abbia raccolto l’invito). Quindi un hacker può facilmente entrare nella configurazione BIOS del sistema di management remoto e creare una backdoor. È sufficiente fare un reboot del computer e premere CTRL-P durante il boot per arrivare alla pagina di login del MEBx (Intel Management Engine BIOS Extension). Ed ecco il punto debole: la quasi totalità degli utenti corporate non ha cambiato la password di default: “admin”.
A questo punto, l’attaccante deve solo cambiare la password di default (per evitare che in seguito l’utente possa riprendere il controllo), abilitare l’accesso remoto e impostare l’opt-in per l’utente a “nessuno”, in modo da rendere invisibili le successive intrusioni. Fatte queste operazioni, che richiedono pochi secondi, l’attaccante può accedere al PC compromesso da qualsiasi macchina collegata alla stessa rete, o da Internet se dispone di un proprio server CIRA (Client Initiated Remote Access).
Il fatto che l’exploit iniziale, quello che richiede accesso fisico al PC, sia realizzabile in pochi secondi espone gli utenti a un altissimo livello di rischio: lo scenario tipico, ha spiegato Sintonen, è quello dell’”evil maid” (la cameriera infedele): lasciando il portatile incustodito anche solo per qualche minuto nella propria stanza d’albergo, qualcuno può entrare nella camera, riconfigurare il PC in un minuto, e poi sfruttare la backdoor non appena vi collegate alla rete wi-fi dell’hotel.
Come difendersi
Per ridurre la probabilità di essere attaccati, è ovvio che per prima cosa non bisogna lasciare il proprio PC incustodito nemmeno per un minuto in luoghi dove possono entrare altre persone.
Seconda cosa, è importantissimo cambiare la password di default del sistema MEBx. Questo dovrebbe bloccare la maggior parte degli attaccanti.
Inoltre, se la vostra azienda non fa uso del sistema AMT, conviene verificare se il vostro PC permette di disabilitare questa tecnologia. Infatti, anche se non viene usato, AMT è comunque attivo sulla macchina per default.
Infine, i responsabili IT dovrebbero avviare un check-up di tutte le macchine aziendali che gestiscono: se su un portatile c’è una password AMT sconosciuta, ci sono serie probabilità che il PC sia stato compromesso, e va immediatamente isolato e verificato a fondo.
