Idestova tíz éve létezik az a hiba az Intel Active Management Technology (AMT) nevű eszközében, ami lehetővé teszi a támadók számára az admin jelszómező megkerülését. Érdekesség, hogy habár évtizedes problémáról van szó, csak idén februárban fedezték fel. A hiányosságot felfedő Embedi IT-biztonsági cég márciusban vette fel a kapcsolatot a csipgyártóval, amelynek mostanáig tartott a javítás elkészítése.

A kikapcsolt gépek sincsenek biztonságban

Az Intel AMT sérülékenység az első ilyen jellegű biztonsági rés, vélekedett az Embedi. Kihasználásával a támadó teljes ellenőrzést kaphat az üzleti célú számítógépek felett, még akkor is, ha ki vannak kapcsolva (de áram alatt vannak). A vállalat reméli, hogy felhívása ébresztőként szolgál a fimrware-ekeben fellelhető sebezhetőségek kapcsán, és ráirányítja a figyelmet erre az eddig eléggé elhanyagolt területre. Ezzel elkerülhető lenne a jövőben jó néhány igen kellemetlen esemény, melyek okozói a hardverek firmware-jeiben lapulnak meg.

Természetéből fakadóan az Intel AMT sérülékenység lehetővé teszi a felhasználói azonosítás megkerülését. Más szavakkal a támadónak nem is kell rendelkeznie a felhasználónévvel és jelszóval, mégis képes lesz az Intel AMT használatára. Arra van szüksége csupán, hogy hozzáférést kaphasson a 16992/16993-as portokhoz.

Öt oldalas tanulmányában azt állítja az Embedi, hogy kritikus fontosságú a biztonsági hiányosság, hiszen lehetővé teszi egy jelszómező megkerülését. Ezzel pedig hozzáférést nyújthat a számítógépen tárolt adatokhoz, dokumentumokhoz.

Van megoldás

Múlt hét végén vált elérhetővé a javítás, az érintett cégek – beleértve a HP-t és az Intelt is – használatbavételi útmutatót tettek közzé. Az Intel termékeket és technológiákat használók biztonsága és belénk vetett bizalma nagyon fontos számunkra, ezért mindent megteszünk azért, hogy a helyzetet a lehető leghamarabb megoldjuk - nyilatkozott az incidens kapcsán a csipgyártó vállalat.

Az Intel frissített firmware-rel igyekszik úrrá lenni a sebezhetőségen, illetve partnereivel együttműködve dolgozik az érintettek tájékoztatásán és a szükséges update-ek eljuttatásán.

Furmányos firmware-ek

Azt hinnénk, hogy a hardvereket vezérlő, integrált szoftverek kompakt kialakítása és alapos átvizsgálása miatt nem, vagy csak nagyon ritkán érheti őket biztonsági incidens. Noha valóban nem elsődleges kutatási terepe a hekkereknek a firmware biztonsági rések keresése, azért sajnos nem olyan jó a helyzet, mint hinnénk. A modern hardvereknél ugyanis már frissíthetők ezek a szoftverek, ami hanyagabb ellenőrzést – ráér akkor kijavítani, amikor hibásnak bizonyul – eredményez és a firmware rosszindulatú felülírását is magával hozhatja.
 

Az még a szerencsésebbik eset, amikor az eszköz tulajdonosa akar módosításokat végezni. Ez eredményezhet olyan furcsa helyzeteket, melyek során például rákaptak az amerikai gazdák, hogy feltört firmware-ekkel üzemeltessék drága pénzen vett traktorjaikat. Ennek oka, hogy a gyártók által rájuk erőltetett szerződések szinte minden lehetőségét kizárják annak, hogy a gazda belenyúljon traktora rendszerébe, azon bármilyen javítást eszközöljön, mert azt csak a hivatalos dealerek és a javításra feljogosított szervizek végezhetik el – természetesen drágán. Ezt a költséget csökkentik a gazdák egy kis firmware-hekkeléssel.

Ennél azonban nagyobb problémát okoz, ha biztonsági sebezhetőségre bukkannak. Két éve például az ASUS egyes hálózati útválasztóiban azonosítottak be egy ilyen sérülékenységet, melynek kihasználásával a támadók tetszőleges műveleteket hajthattak végre a routereken anélkül, hogy bármiféle adminisztrátori jelszót ismerniük kellett volna (további részletek itt). De az Intel sem először lett sáros: a Lenovo és más PC-gyártók is érintettek voltak abban a hibában, amelynek révén kiiktathatóvá vált a firmware írásvédettsége. A támadók ezáltal képesek lehettek megfertőzni a platform firmware-t, és kikerülni Virtual Secure Mode komponenst (Credential Guard stb.) a Windows 10 Enterprise rendszert futtató gépeken (bővebben itt).