Vulnerabilità di sicurezza scoperta su Intel AMT, e divulgata

Vulnerabilità di sicurezza scoperta su Intel AMT, e divulgata

Dopo Meltdown e Spectre, pare che Intel debba affrontare una nuova problematica di sicurezza all'interno delle proprie tecnologie

di pubblicata il , alle 15:21 nel canale Sicurezza
Intel
 

Proprio nel periodo in cui Meltdown e Spectre hanno scosso l'intera industria informatica arriva una nuova gatta da pelare per Intel. I ricercatori di F-Secure hanno rivelato una nuova debolezza su Active Management Technology di Intel, con il firmware di gestione che potrebbe consentire a chiunque abbia accesso fisico al PC di guadagnare i permessi di accesso remoto in via permanente. La vulnerabilità è presente all'interno del firmware Intel AMT, una tecnologia installata su circa 100 milioni di sistemi nell'ultima decade.

Secondo Intel la "colpa" è dei produttori dei sistemi immessi in commercio, e non della stessa Intel, per non aver protetto in maniera appropriata la configurazione di AMT all'interno dei menu di configurazione del BIOS. Intel ha avuto problemi con AMT lo scorso maggio, con una falla su alcune versioni del firmware che è stata corretta a novembre e la patch inviata ai produttori hardware. Ma la più recente vulnerabilità è stata scoperta a luglio da Harry Sintonen di F-Secure, e rivelata dalla firma di sicurezza negli scorsi giorni all'interno di un nuovo report sul sito ufficiale.

Non si tratta di un bug vero e proprio, ma di una feature che però può aprire le porte ad un attaccante di terze parti. Sfruttando la funzionalità i PC con Intel AMT possono essere compromessi in pochi istanti da chiunque abbia accesso al PC, anche aggirando la password del BIOS, i numeri di autenticazione personale di Trusted Platform Module e le password di crittografia dei dischi di Bitlocker. Basta infatti riavviare il sistema, entrare nei menu di configurazione del BIOS e selezionare la configurazione del Management Engine BIOS Extension (MEBx).

Se quest'ultima funzionalità non è stata configurata dall'utente, o dall'azienda, l'aggressore può accedere alle impostazioni di configurazione utilizzando banalmente la password di default "admin". L'aggressore può quindi modificare la password, abilitare l'accesso remoto e configurare il firmware alla bisogna per rendere il tutto trasparente. In questo modo l'attaccante può guadagnare l'accesso remoto al sistema se riesce a collegarsi alla stessa rete, per poi abilitare l'accesso via altre reti (che a detta di F-Secure richiede qualche passaggio aggiuntivo).

Come ogni attacco che richiede l'accesso fisico al sistema la sua pericolosità è ridotta, anche se il breve tempo richiesto per essere portato a compimento potrebbe consentire un facile exploit anche ad utenti senza grandi competenze. Intel non ha molte colpe in merito comunque: lo scorso mese ha rilasciato delle linee guida sulle best practice da seguire per configurare AMT in modo da impedire che possano essere eseguite aggressioni di questo tipo, sottolineando nella sezione Q&A che l'aggressione descritta da F-Secure può essere semplicemente evitata.

"Se la password di default di MEBx non è mai stata modificata, una persona non autorizzata con accesso fisico al sistema può accedere a Intel AMT via Intel MEBx o con una chiave USB usando la password di default", scrive Intel. "Se il produttore ha seguito le raccomandazioni di Intel per la protezione del menu Intel MEBx con la password del BIOS, l'attacco fisico del sistema potrebbe essere mitigato". Pare però che in pochi, fra i produttori, abbiano seguito i consigli di Intel e tutti i portatili provati da Sintonen soffrivano del problema.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Nicodemo Timoteo Taddeo15 Gennaio 2018, 15:29 #1
Vengono fuori dalle fottute pareti (cit.)
ROBHANAMICI15 Gennaio 2018, 15:33 #2
Dai voglio vedere, visto che ormai l'argomento è stato messo in mezzo, quante altre notizie del genere usciranno in questo mese, avanti la prossima falla...
Veradun15 Gennaio 2018, 15:40 #3
Quando richiede accesso fisico diciamo che la situazione è decisamente meno merdosa, ma comunque rilevante per realtà davvero grandi in cui lo spionaggio può essere estremamente dannoso.
GM Phobos15 Gennaio 2018, 15:44 #4
ehm questo non è un bug...

è una funzione del sistema... se un utente o un'azienda non si preoccupa di cambiare la password di default è normale che si possa accedere.
Comunque anche non cambiando la password di default resta il fatto che questa procedura sia possibile solo e unicamente avendo accesso fisico alla macchina.

credo che dopo aver mostrato i veri bug ora qualche azienda voglia un po' di luce dei riflettori sulle spalle di intel...
nickname8815 Gennaio 2018, 15:51 #5
infatti non è una vulnerabilità, è una security issue
PeK15 Gennaio 2018, 15:54 #6
Originariamente inviato da: GM Phobos
ehm questo non è un bug...

è una funzione del sistema... se un utente o un'azienda non si preoccupa di cambiare la password di default è normale che si possa accedere.
Comunque anche non cambiando la password di default resta il fatto che questa procedura sia possibile solo e unicamente avendo accesso fisico alla macchina.

credo che dopo aver mostrato i veri bug ora qualche azienda voglia un po' di luce dei riflettori sulle spalle di intel...


è un bug perchè non dovrebbe esserci. dovrebbe essere SOLAMENTE nelle cpu e nelle mainboard vendute agli utenti PRO che la richiedono.
Bistecca15 Gennaio 2018, 16:15 #7
Originariamente inviato da: Nicodemo Timoteo Taddeo
Vengono fuori dalle fottute pareti (cit.)

benderchetioffender15 Gennaio 2018, 16:27 #8
Originariamente inviato da: Nicodemo Timoteo Taddeo
Vengono fuori dalle fottute pareti (cit.)




Originariamente inviato da: GM Phobos
ehm questo non è un bug...


infatti questa non è una notizia... è una giornalata del benga
zappy15 Gennaio 2018, 16:49 #9
Originariamente inviato da: nickname88
infatti non è una vulnerabilità, è una security issue

beh grazie, se lasci la pass di default.
ma adesso va di moda strillare di vulnerabilità, così non si capisce + quali sono vere e serie e quali cazzate...
v10_star15 Gennaio 2018, 17:55 #10
a quando la notizia che tutti i pc sul pianeta sono vulnerabili ponticellando i contatti del reset cmos?

per la serie non c'è 2 senza 3...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^