Исследователи обнаружили еще один серьезный недостаток безопасности в процессорах Intel

Исследователи обнаружили еще один серьезный недостаток безопасности в процессорах Intel

Исследователи безопасности выявили еще одно серьезное ядро ​​безопасности в процессорах Intel, помимо дыр в области безопасности в Intel Management Engine и недостаток Meltdown, который сильно ударил по процессорам Intel. На этот раз это проблема с технологией Active Management (AMT) от Intel, которая обычно резервируется для систем, поддерживающих платформы Intel vPro или рабочей станции с определенными процессорами Xeon.

Intel AMT предназначен для того, чтобы позволить администраторам получать доступ и обновлять ПК, даже если эти ПК отключены. Все, что им нужно, это подключение к Интернету и настенная розетка, и они могут быть обновлены. Это полезный инструмент для крупных многонациональных фирм с обширными сотрудниками, но это также потенциальный риск для безопасности. F-Secure опубликовала информацию о том, насколько легко злоумышленник с небольшим локальным доступом может получить полный доступ ко всей машине. Вот как они описывают проблему:

Обычно пароль BIOS запрещает несанкционированному пользователю выполнять низкоуровневые изменения на устройстве. Однако суть этой проблемы заключается в том, что даже при установке пароля BIOS злоумышленник не нуждается в настройке AMT. Мало того, что из-за небезопасных настроек по умолчанию в конфигурации BIOS BIOS и AMT (MEBx) злоумышленник с физическим доступом может эффективно выполнять бэкдор на машине, предоставляя AMT, используя пароль по умолчанию. Затем злоумышленник может получить доступ к устройству удаленно, подключившись к той же беспроводной или проводной сети, что и пользователь. В некоторых случаях нападающий может также запрограммировать AMT для подключения к своему собственному серверу, что отрицает необходимость находиться в том же сегменте сети, что и жертва.

Короче говоря, установка пароля BIOS не поможет, и как только кто-то получит доступ, вы не сможете их выгнать. Исследователи отмечают, что никакие другие меры безопасности, в том числе локальные брандмауэры, пароли BIOS, антивирусное программное обеспечение или использование VPN, могут помешать уязвимой системе утечки данных, поскольку она была взломана за пределами среды Windows, в отдельной операционной системе, полностью защищены от любых попыток проверить или контролировать данные, вытекающие из или в него.

Отсюда возможности бесконечны. Даже вредоносные программы на основе прошивки могут быть легко загружены в систему без каких-либо признаков обнаружения. И хотя местный доступ может показаться жестким препятствием для взлома, это не так сложно, как кажется. По словам F-Secure, изменения могут быть сделаны менее чем за минуту. Это может быть не та атака, которая развертывается в тысячах систем в корпоративной локальной сети - по крайней мере, без дополнительных шагов - но это именно та направленная атака, которую может использовать правительственное агентство. И более того, это иллюстрирует, что процессоры Intel снова уязвимы для набора возможностей управления, которые Intel решила полностью изолировать от основной операционной системы.

И более того, это легко разрешенный недостаток. Даже если вы считаете, что вероятность проникновения системы через неадекватный локальный доступ минимальна, решение этой проблемы заключается в том, чтобы не разрешать доступ к AMT до тех пор, пока не будет введен правильный пароль BIOS. Если пользователь не может разблокировать BIOS, им не разрешается вводить пароль для конфигурации AMT (пароль по умолчанию, конечно, «admin»). Большинство устройств, поддерживающих AMT, ноты F-Secure не используют эту функцию в первую очередь. Они все еще подвержены риску локальной атаки, потому что эта атака работает против устройств с поддержкой AMT с паролями по умолчанию. И один раз внутри AMT (достигнув, нажав Ctrl-P во время загрузки), злоумышленник может войти в систему, используя «admin», ввести новый удаленный пароль, настроить AMT для подавления уведомлений о том, что ноутбук подключен удаленно (тем самым не позволяя пользователям знать что произошло), а также настроить его для обеспечения беспроводного удаленного управления в дополнение к проводному управлению.

Как только это будет сделано, злоумышленник сможет подключиться к системе, если он находится в той же локальной сети или программе AMT, чтобы включить Client Initiated Remote Access (CIRA), который будет подключаться к серверам злоумышленников и вообще не будет нуждаться в локальном доступе ,

Не большой взгляд на компанию, которая уже забита другими недостатками безопасности. Все обоснование корпорации Intel по хранению столь значительной части своей инфраструктуры безопасности заблокировано, все меньше и меньше похоже на принципиальное решение компании, которое сохраняет нас в безопасности и больше похоже на отчаянную попытку охватить только то, насколько плохо это относится к безопасности. Потому что люди, смотри, это не сложная атака. Это не сумасшедшая идея. На самом деле, это одна из первых вещей, которые я ожидал бы от злоумышленника, если бы у этого человека была даже базовая концепция того, что можно настроить как AMT и Intel Management Engine.

Читать далее

НАСА обнаружило жизненно важную органическую молекулу на Титане
НАСА обнаружило жизненно важную органическую молекулу на Титане

В ходе последнего анализа исследователи из НАСА определили важную, высоко реактивную органическую молекулу в атмосфере Титана. Его присутствие предполагает, что Луна может поддерживать химические процессы, которые мы обычно связываем с жизнью.

Астрономы обнаружили планету-бродягу размером с Землю, блуждающую по галактике
Астрономы обнаружили планету-бродягу размером с Землю, блуждающую по галактике

Астрономы идентифицировали более 4000 экзопланет, вращающихся вокруг других звезд, но всего несколько «планет-изгоев», блуждающих по галактике без звезды, которую можно было бы назвать своим домом. Новое исследование утверждает, что обнаружило один из этих миров, и это может быть небольшой каменистый мир вроде Земли.

Хаббл обнаружил экзопланету, которая могла бы отражать девятую планету
Хаббл обнаружил экзопланету, которая могла бы отражать девятую планету

Планета, известная как HD 106906 b, в 11 раз больше массы Юптера и вращается вокруг двойных звезд на расстоянии почти 68 миллиардов миль - в 730 раз больше, чем расстояние между Землей и Солнцем. Астрономы считают, что этот холодный мир может служить прокси, чтобы помочь нам понять гипотетическую Девятую планету в нашей солнечной системе.

Астрономы обнаружили радиоизлучение планеты на расстоянии 51 светового года от Земли
Астрономы обнаружили радиоизлучение планеты на расстоянии 51 светового года от Земли

Исследователи утверждают, что это первый раз, когда экзопланета была обнаружена в радиодиапазоне.