Исследователи обнаружили еще один серьезный недостаток безопасности в процессорах Intel

Исследователи обнаружили еще один серьезный недостаток безопасности в процессорах Intel

Исследователи безопасности выявили еще одно серьезное ядро ​​безопасности в процессорах Intel, помимо дыр в области безопасности в Intel Management Engine и недостаток Meltdown, который сильно ударил по процессорам Intel. На этот раз это проблема с технологией Active Management (AMT) от Intel, которая обычно резервируется для систем, поддерживающих платформы Intel vPro или рабочей станции с определенными процессорами Xeon.

Intel AMT предназначен для того, чтобы позволить администраторам получать доступ и обновлять ПК, даже если эти ПК отключены. Все, что им нужно, это подключение к Интернету и настенная розетка, и они могут быть обновлены. Это полезный инструмент для крупных многонациональных фирм с обширными сотрудниками, но это также потенциальный риск для безопасности. F-Secure опубликовала информацию о том, насколько легко злоумышленник с небольшим локальным доступом может получить полный доступ ко всей машине. Вот как они описывают проблему:

Обычно пароль BIOS запрещает несанкционированному пользователю выполнять низкоуровневые изменения на устройстве. Однако суть этой проблемы заключается в том, что даже при установке пароля BIOS злоумышленник не нуждается в настройке AMT. Мало того, что из-за небезопасных настроек по умолчанию в конфигурации BIOS BIOS и AMT (MEBx) злоумышленник с физическим доступом может эффективно выполнять бэкдор на машине, предоставляя AMT, используя пароль по умолчанию. Затем злоумышленник может получить доступ к устройству удаленно, подключившись к той же беспроводной или проводной сети, что и пользователь. В некоторых случаях нападающий может также запрограммировать AMT для подключения к своему собственному серверу, что отрицает необходимость находиться в том же сегменте сети, что и жертва.

Короче говоря, установка пароля BIOS не поможет, и как только кто-то получит доступ, вы не сможете их выгнать. Исследователи отмечают, что никакие другие меры безопасности, в том числе локальные брандмауэры, пароли BIOS, антивирусное программное обеспечение или использование VPN, могут помешать уязвимой системе утечки данных, поскольку она была взломана за пределами среды Windows, в отдельной операционной системе, полностью защищены от любых попыток проверить или контролировать данные, вытекающие из или в него.

Отсюда возможности бесконечны. Даже вредоносные программы на основе прошивки могут быть легко загружены в систему без каких-либо признаков обнаружения. И хотя местный доступ может показаться жестким препятствием для взлома, это не так сложно, как кажется. По словам F-Secure, изменения могут быть сделаны менее чем за минуту. Это может быть не та атака, которая развертывается в тысячах систем в корпоративной локальной сети - по крайней мере, без дополнительных шагов - но это именно та направленная атака, которую может использовать правительственное агентство. И более того, это иллюстрирует, что процессоры Intel снова уязвимы для набора возможностей управления, которые Intel решила полностью изолировать от основной операционной системы.

И более того, это легко разрешенный недостаток. Даже если вы считаете, что вероятность проникновения системы через неадекватный локальный доступ минимальна, решение этой проблемы заключается в том, чтобы не разрешать доступ к AMT до тех пор, пока не будет введен правильный пароль BIOS. Если пользователь не может разблокировать BIOS, им не разрешается вводить пароль для конфигурации AMT (пароль по умолчанию, конечно, «admin»). Большинство устройств, поддерживающих AMT, ноты F-Secure не используют эту функцию в первую очередь. Они все еще подвержены риску локальной атаки, потому что эта атака работает против устройств с поддержкой AMT с паролями по умолчанию. И один раз внутри AMT (достигнув, нажав Ctrl-P во время загрузки), злоумышленник может войти в систему, используя «admin», ввести новый удаленный пароль, настроить AMT для подавления уведомлений о том, что ноутбук подключен удаленно (тем самым не позволяя пользователям знать что произошло), а также настроить его для обеспечения беспроводного удаленного управления в дополнение к проводному управлению.

Как только это будет сделано, злоумышленник сможет подключиться к системе, если он находится в той же локальной сети или программе AMT, чтобы включить Client Initiated Remote Access (CIRA), который будет подключаться к серверам злоумышленников и вообще не будет нуждаться в локальном доступе ,

Не большой взгляд на компанию, которая уже забита другими недостатками безопасности. Все обоснование корпорации Intel по хранению столь значительной части своей инфраструктуры безопасности заблокировано, все меньше и меньше похоже на принципиальное решение компании, которое сохраняет нас в безопасности и больше похоже на отчаянную попытку охватить только то, насколько плохо это относится к безопасности. Потому что люди, смотри, это не сложная атака. Это не сумасшедшая идея. На самом деле, это одна из первых вещей, которые я ожидал бы от злоумышленника, если бы у этого человека была даже базовая концепция того, что можно настроить как AMT и Intel Management Engine.

Читать далее

Windows от Microsoft для ARM-усилий серьезно ограничена

Новый список Windows 10 по ограничениям ARM снизился. Это дурно. В зависимости от вашего варианта использования для ноутбука вы можете столкнуться с вашим рабочим процессом.

Процессоры AMD Ryzen, чипсеты якобы содержат серьезные недостатки безопасности

AMD столкнулась с 13 серьезными утверждениями об ошибках в своих семействах процессоров Ryzen и чипсетов.

Первый ASIC ASEE просто запущен, с серьезным оговоркой

Первые ASIC-шахтеры для Ethereum запустили - но мы будем следить за тем, как ситуация развивается в ближайшие несколько недель, прежде чем нажать спусковой крючок.

Серьезные атаки Rowhammer теперь могут быть удалены удаленно

Методы размывания памяти, используемые для локальных атак, теперь можно запускать удаленно, без необходимости повышения привилегий или прямого доступа к системе.