techfromthenet
MENU
  • Home
  • Hardware
  • Mercato ►
    • Nomine
    • Accordi
    • Attualità
  • Mobile ►
    • Notebook
    • Smartphone
    • Tablet
  • Networking
  • Sicurezza ►
    • Software
    • Piattaforme
    • Analisi
  • Software ►
    • Produttività
    • Sistemi operativi
  • Storage
  • Cloud
  • test
  • Interviste
  • Home
  • Hardware
  • Mercato
    • Nomine
    • Accordi
    • Attualità
  • Mobile
    • Notebook
    • Smartphone
    • Tablet
  • Networking
  • Sicurezza
    • Software
    • Piattaforme
    • Analisi
  • Software
    • Produttività
    • Sistemi operativi
  • Storage
  • Cloud
  • test
  • Interviste
HomeSicurezzaNews analisiIntel AMT, un falla consente di bypassare le credenziali di login

Intel AMT, un falla consente di bypassare le credenziali di login

12 Gennaio 2018 Redazione
Intel AMT, un falla consente di bypassare le credenziali di login

Un problema di sicurezza in Intel Active Management Technology consente agli attaccanti di bypassare le credenziali di login sui notebook aziendali.

Secondo F-Secure si tratta di una problematica di sicurezza che riguarda la maggior parte dei notebook aziendali, e che permette a un attaccante che abbia accesso fisico al dispositivo di creare una backdoor in meno di 30 secondi. Questo problema consente all’attaccante di poter fare a meno delle credenziali, incluse le password del BIOS e di Bitlocker e il PIN del TPM (Trusted Platform Module), e di ottenere accesso remoto per sfruttare quel dispositivo in un secondo momento. Questa problematica è presente nell’Active Management Technology (AMT) di Intel e colpisce potenzialmente milioni di notebook nel mondo.

Harry Sintonen, Senior Security Consultant in F-Secure
È piuttosto semplice da sfruttare, ma ha un potenziale distruttivo incredibile. In pratica, può fornire all’attaccante un controllo completo sul notebook aziendale di un utente, nonostante le più costose misure di sicurezza poste in essere.

Intel AMT è una tecnologia per la manutenzione e il monitoraggio di personal computer aziendali tramite accesso remoto, creata per permettere ai dipartimenti IT o ai fornitori di servizi gestiti (MSP) di controllare meglio le flotte di dispositivi. Questa tecnologia, che si trova comunemente nei notebook aziendali, è stata chiamata in causa in passato per alcuni punti deboli che presenta a livello di sicurezza, ma la semplicità con cui è possibile sfruttare questa nuova particolare problematica la distingue dai casi emersi in precedenza. Si tratta infatti di un punto debole che può essere sfruttato in pochi secondi senza dover scrivere una singola linea di codice.

L’essenza di questo problema di sicurezza sta nel fatto che impostare una password del BIOS – che solitamente evita che un utente non autorizzato possa avviare il dispositivo o apportarvi modifiche a basso livello – non previene accessi non autorizzati all’estensione BIOS per la configurazione dell’AMT. Questo permette a un attaccante di riconfigurare l’AMT e rendere il dispositivo vulnerabile da remoto.
Tutto ciò che un malintenzionato deve fare è riavviare o accendere il computer preso di mira e premere CTRL-P durante il riavvio. L’attaccante poi può loggarsi in Intel Management Engine BIOS Extension (MEBx) usando la password di default “admin”, poiché questa password non viene quasi mai cambiata sulla maggior parte dei notebook aziendali. Può poi cambiare la password, abilitare l’accesso remoto e impostare l’opt-in dell’utente di AMT su “Nessuno”. L’attaccante può quindi ottenere accesso remoto al sistema sia da reti wireless che cablate, finché è capace di inserirsi sullo stesso segmento di rete della vittima. Un accesso al dispositivo è anche possibile dall’esterno rispetto alla rete locale attraverso un server CIRA (Client Initiated Remote Access) comandato dall’attaccante.

Sebbene l’attacco iniziale richieda un accesso fisico al dispositivo, Sintonen ha spiegato che la velocità con cui può essere compiuto lo rende facilmente eseguibile in uno scenario che in inglese viene definito ‘evil maid’. “Immagina di lasciare il tuo notebook nella camera di un albergo mentre esci per un drink. Un malintenzionato può entrare nella tua stanza e configurare il tuo notebook in meno di un minuto: ora, quando usi il tuo notebook sulla rete wireless dell’hotel, l’attaccante ha accesso al tuo dispositivo. E dal momento che il tuo computer si connette alla VPN aziendale, l’attaccante può ottenere accesso alle risorse dell’azienda.” Sintonen sottolinea che basta un minuto di distrazione da parte dell’utente in un aeroporto o in un bar per permettere a un attaccante di colpire il notebook incustodito.
Sintonen si è accorto di questa problematica già a luglio 2017 e precisa che anche un altro ricercatore ne aveva già parlato in un talk. Per questo motivo è particolarmente importante che le organizzazioni siano a conoscenza di questi default insicuri, così che li possano risolvere prima che vengano sfruttati dai criminali. Sintonen ha anche spiegato che una simile vulnerabilità era stata scoperta in precedenza dal CERT-Bund ma riguardava l’USB provisioning.
La problematica riguarda la maggior parte, se non tutti, i notebook che supportano Intel Management Engine/Intel AMT. Non è correlata alle vulnerabilità Spectre e Meltdown recentemente scoperte.

Intel raccomanda ai vendor di richiedere la password del BIOS per il provisioning di Intel AMT. Tuttavia, molti produttori di dispositivi non seguono questo suggerimento.

Raccomandazioni per gli utenti finali:
– Non lasciare mai il tuo notebook incustodito in uno spazio non sicuro come un luogo pubblico.
– Contatta il tuo service IT per gestire il dispositivo.
– Se ti occupi da solo del tuo notebook che usi per lavoro, cambia la password AMT con una più forte, anche se non pensi di usare AMT. Se esiste un’opzione per disabilitare AMT, usala. Se la password è già impostata su un valore sconosciuto, considera il dispositivo sospetto.

Suggerimenti per le organizzazioni:
– Regola il processo di provisioning del sistema per includere l’impostazione di una password AMT avanzata, e disabilita AMT se è disponibile questa opzione.
– Controlla tutti i dispositivi attualmente in uso e configura la password AMT. Se la password è già impostata su un valore sconosciuto considera questo dispositivo sospetto e avvia una procedura di incident response.

Related Posts:

  • cambiare password password
    ESET: quanto spesso dovremmo cambiare password?
  • password sicure
    Password sicure, Fortinet offre quattro utili consigli
  • passphrase
    Password oppure passphrase, qual è la più sicura?
  • password Check Point Telegram distribuzione malware attacchi informatici
    Password: perché è arrivata l’ora per non usarle più
  • active directory
    Active Directory, Semperis offre una protezione inside-out
  • sicurezza password multicloud gestione password Robotic Process Automation Paolo Lossa ESG
    Gestione password: insufficiente un approccio tradizionale
  • Active Management Technology
  • attacco
  • bypassare login
  • cybercrime
  • falla
  • intel
  • Intel AMT
  • login
  • notebook
  • security
  • sicurezza
  • vulnerabilità
  • vulnerabilità Intel AMT
Sony al CES: dall’IA all’imaging, passando per le TV 4KPrecedente

Sony al CES: dall’IA all’imaging, passando per le TV 4K

AMD Ryzen e Vega, una roadmap 2018 ricca di novitàSuccessivo

AMD Ryzen e Vega, una roadmap 2018 ricca di novità

ULTIMI ARTICOLI

Denodo

Denodo invita gli studenti alla University Challenge

cloud CyberArk attacchi iam ransomware browser web

Aziende e cloud, come sfruttarne le potenzialità ma in sicurezza

sicurezza

Sicurezza, manutenzione e protezione per le aziende

Fraud detection

Fraud detection, approccio predittivo per avere più sicurezza

GravityZone

GravityZone EASM, gestire la superficie di attacco esterna

FOCUS

sicurezza

Sicurezza, manutenzione e protezione per le aziende

stampanti multifunzione

Le stampanti multifunzione e la gestione documentale

intelligenza artificiale

Intelligenza artificiale: il motore turbo per le aziende

lavoro ibrido

Lavoro ibrido e digital workplace per le aziende PMI

industry 5.0

Industry 5.0 e Smart Factory: soluzioni e progetti

SPECIALE SICUREZZA

cloud CyberArk attacchi iam ransomware browser web

Aziende e cloud, come sfruttarne le potenzialità ma in sicurezza

Fraud detection

Fraud detection, approccio predittivo per avere più sicurezza

GravityZone

GravityZone EASM, gestire la superficie di attacco esterna

digitalizzazione

La digitalizzazione della sanità, intervista a David Parras di SOTI

Sophos MDR

Colser-Auroradomus sceglie la cybersecurity as a service di Sophos MDR

SCOPRI IL MONDO QNAP

TEST

high availability

QNAP High Availability per la sicurezza e la continuità aziendale

NUC

Asus NUC 14, miniPC senza complessi di inferiorità!

videosorveglianza

Synology CC400W, videosorveglianza con intelligenza artificiale

nas qnap

NAS QNAP TS-h765eU, edge storage a profondità ridotta

NAS Synology

NAS Synology DS224+, storage compatto entry-level

TECH

cloud CyberArk attacchi iam ransomware browser web

Aziende e cloud, come sfruttarne le potenzialità ma in sicurezza

intelligenza artificiale

Intelligenza Artificiale e felicità sono legate (al lavoro)

private 5G

Verizon Business implementa il private 5G nell’area Thames Freeport

quantum computing

Il futuro del quantum computing secondo OVHcloud

cloud

Snowflake Summit 2025: una piattaforma cloud per i dati

MENU
  • Contatti
  • Redazione
  • Privacy Policy
  • Cookie Policy
  • Contatti
  • Redazione
  • Privacy Policy
  • Cookie Policy

Avalon Media srl, via Brioschi, 29 20842 Besana in Brianza. P.Iva: 08119820960