Video: Por qué la arquitectura de los sistemas de microprocesadores debe convertirse en código abierto
Una vulnerabilidad de seguridad en la plataforma de mantenimiento y monitoreo de acceso remoto de Intel Active Management Technology (AMT) podría permitir a los atacantes eludir las conexiones y colocar una puerta trasera en una computadora portátil, lo que permite el acceso remoto y la operación de la máquina.
Los AMT de Intel se encuentran comúnmente en computadoras con procesadores compatibles con Intel vPro, así como en sistemas basados en algunos procesadores Intel Xeon.
Los detalles de la vulnerabilidad, que pueden comprometer un dispositivo limpio en menos de un minuto y omitir la contraseña del BIOS, el PIN del TPM, BitLocker y las credenciales de inicio de sesión, fueron señalado por los investigadores de F-Secure.
«El ataque es engañosamente simple de implementar, pero tiene un potencial destructivo increíble. En la práctica, puede dar a un atacante local un control total sobre la computadora portátil de trabajo de una persona, a pesar de las medidas de seguridad más amplias», dijo Harry Sintonen, consultor senior de seguridad. . el F-Secure.
Esta vulnerabilidad no está relacionada con las fallas de seguridad de Spectre y Meltdown que se encuentran integradas en el diseño fundamental de los procesadores y que se cree que existen de alguna forma en la mayoría de los procesadores Intel de 1995.
El ataque AMT requiere acceso físico a la máquina, pero la velocidad con la que se puede realizar facilita la operación si la computadora portátil se deja desatendida.
Los atacantes con acceso físico a las máquinas que usan Intel AMT pueden comprometerlas en menos de un minuto.
Imagen: iStock
Si bien establecer una contraseña de BIOS normalmente evita que un usuario no autorizado encienda el dispositivo o realice cambios de bajo nivel en él, no impide el acceso a la extensión AMT BIOS, lo que permite a un atacante reconfigurar AMT y habilitar el funcionamiento del sistema operativo. no ha sido cambiado.
Ver también: Guerra cibernética: una guía para el futuro aterrador del conflicto en línea
A partir de ahí, el atacante puede cambiar la contraseña predeterminada, habilitar el acceso remoto y establecer la opción del usuario de AMT en «ninguno», lo que permite el acceso remoto al dispositivo sin el conocimiento o la entrada del usuario, siempre que puedan ponerse en el mismo lugar. .red como víctima. Sin embargo, teóricamente es posible monitorear el dispositivo fuera de la red local a través de un servidor de acceso remoto iniciado por el cliente (CIRA) construido por el atacante.
Aunque la necesidad de proximidad física al objetivo hace que el ataque sea más difícil de iniciar que un ataque a distancia, como un correo electrónico de phishing, no es imposible que los atacantes expertos que quieren comprometer un objetivo en particular organicen un escenario en el que puede tomar poco tiempo con el dispositivo. necesitan.
«En esencia, un atacante está distrayendo, mientras que el otro obtiene acceso a su computadora portátil por un corto tiempo. El ataque no toma mucho tiempo, toda la operación puede tomar menos de un minuto”, dijo Sintonen.
Esta no es la primera vez que se revela este tipo de vulnerabilidad: otro investigador reveló previamente un ataque similar, mientras que CERT-BUND también descubrió ataques que funcionan de la misma manera, pero requieren acceso USB al dispositivo de destino.
Ver también: Política de respuesta a incidentes (PDF gratuito)
Para evitar ser víctima de este tipo de ataques, F-Secure recomienda que el suministro del sistema requiera el uso de una contraseña AMT segura y que, si alguna contraseña se ha configurado con un valor desconocido, se considere sospechosa. Mientras tanto, se recomienda a los usuarios finales que nunca dejen su monitor desatendido en un lugar inseguro. F-Secure contactó a los fabricantes sobre el problema.
«Apreciamos que la comunidad de investigación de seguridad señale que algunos fabricantes de sistemas no han configurado sus sistemas para proteger Intel Management Engine BIOS Extension (MEBx)», dijo un portavoz de Intel a Krypton Solid.
«Proporcionamos orientación sobre las mejores prácticas de configuración en 2015 y Lo actualicé en noviembre de 2017.e instamos encarecidamente a los OEM a configurar sus sistemas para maximizar la seguridad. Estas mejores prácticas de configuración incluyen ejecutar con el acceso con menos privilegios, mantener el firmware, el software de seguridad y los sistemas operativos actualizados”.
Cobertura relacionada
Meltdown y Spectre: la inminente muerte de la seguridad (y qué hacer al respecto)
Estas últimas fallas muestran una vez más que la seguridad es un espejismo. Es hora de un mejor enfoque.
ADT adquiere Datashield y pretende combinar seguridad física y cibernética
La apuesta es que las empresas utilizarán la misma empresa para proteger sus ubicaciones físicas y asegurar sus redes.
Aquí hay un vistazo a las prioridades estratégicas del presupuesto de TI para 2018: IA, IoT, sistemas conversacionales, seguridad en todas partes
Las empresas construirán las bases para la inteligencia artificial, análisis, IoT, gemelos digitales y sistemas automatizados en 2018.