مشکلی دیگر برای اینتل: این بار برای امنیت اطلاعات محرمانه لپ تاپ ها!

این مسئله جدید امنیتی در Intel AMT به هکرها اجازه می دهد در طول ۳۰ ثانیه کنترل کامل لپ تاپ ها را به دست بگیرند!

 

 این اتفاق یک آغاز سال نو وحشتناک برای اینتل بوده است.

محققان از یک حمله جدید که می تواند در کمتر از ۳۰ ثانیه انجام شود هشدار می دهند که به طور بالقوه میلیون ها لپ تاپ در سطح جهان را تحت تاثیر قرار دهد.

زمانی که اینتل سعی داشت وصله هایی را برای آسیب پذیری های Meltdown و Spectre تولید نماید، محققان امنیتی یک نقص امنیتی جدید در سخت افزار Intel کشف کردند که هکر می تواند از راه دور به لپ تاپ های شرکتی دسترسی داشته باشد.

شرکت امنیت سایبری F-Secure یک رفتار پیش فرض غیرایمن را در تکنولوژی مدیریت فعال اینتل به نام AMT ‪(Active Management technology )‬ گزارش نموده است که به مهاجم امکان دور زدن پروسه‌ ورود و گرفتن کنترل کامل دستگاه کاربر را در کمتر از ۳۰ ثانیه می‌ دهد.

AMT یکی از ویژگی های تراشه‌ های مبتنی بر اینتل است که به منظور افزایش توانایی مدیران فناوری اطلاعات و ارائه‌ دهندگان خدمات مدیریت، جهت کنترل بهتر دستگاه ارائه شده است. این ویژگی به مدیران این امکان را می‌ دهد که از راه دور کامپیوترهای خود و سرورهای سازمان شان را مدیریت و تعمیر کنند.

این باگ امنیتی به هرکسی که به لپ‌ تاپ تحت تاثیر دسترسی فیزیکی دارد امکان دور زدن مجوزهای ورود، از جمله رمز عبورهای BitLocker، BIOS، کاربر و کدهای پین TPM را می‌ دهد و مدیران راه دور را قادر به post-exploitation می‌ کند.

به طور کلی تنظیم رمز عبور BIOS موجب می گردد تا از راه اندازی دستگاه یا ایجاد تغییرات در فرایند بوت شدن، توسط کاربر غیرمجاز جلوگیری شود. اما این مورد اینجا نقض می شود!

اگرچه قبلاً نیز آسیب پذیری هایی در AMT کشف شده بود، اما مسئله اخیر نگرانی های خاصی را موجب می شود، زیرا:

  • به راحتی و بدون حتی یک خط کد قابل بهره برداری است.
  • بیشتر لپ تاپ های اینتل را تحت تاثیر قرار می دهد.
  • برای مهاجمان امکان دسترسی راه دور به سیستم های تحت تأثیر را برای بهره برداری های بعدی نیز فراهم می نماید.

Harry Sintonen  پژوهشگر ارشد شرکت F-Secure، که این مسئله را در ماه ژوئیه سال گذشته کشف کرد، بیان داشت: "این حمله تقریباً ساده به نظر می رسد، اما به طور باور نکردنی می تواند مخرب باشد."

"عملاً، حتی با وجود گسترده ترین اقدامات امنیتی ، می تواند امکان دسترسی کامل به لپ تاپ های شخصی را برای هکرها فراهم آورد. "

به گفته محققان، این مشکل هیچ ارتباطی با آسیب پذیری Spectre و Meltdown که اخیراً در میکروچیپ های استفاده شده در رایانه های شخصی، لپ تاپ ها، گوشی های هوشمند و تبلت ها یافت شده است ندارد.

همانطور که محققان F-secure در این ویدیو نشان می دهند، به منظور بهره برداری از این آسیب پذیری، کافیست هکری که به یک سیستم دارای رمز عبور (BIOS  و login) دسترسی فیزیکی دارد، سیستم هدف را ریستارت نموده و هنگام بوت شدن CTRL-P را بزند و پس از آن می تواند به  Intel Management Engine BIOS Extension ‪(MEBx)‬ با رمز عبور پیش فرض وارد شود.

در اینجا، رمز عبور پیش فرض برایMEBx   ، "admin"  است که به احتمال زیاد در اغلب نوت بوک های شرکتی بدون تغییر باقی می ماند.

پس از ورود به سیستم، مهاجم  می تواند رمز عبور پیش فرض را تغییر داده و دسترسی از راه دور را فعال کند و حتی انتخاب کاربر AMT را به "None" تنظیم کند.

اگرچه بهره برداری از این آسیب پذیری به دسترسی فیزیکی نیاز دارد، اما Sintonen اظهار داشت که این کار به راحتی در زمانی کوتاه و به سرعت می تواند صورت پذیرد، بنابراین حتی یک دقیقه حواس پرتی از لپ تاپ کافیست تا این عمل انجام شود.

Sintonen می گوید: "مهاجمان هدف خود را شناسایی نموده و تحت نظر می گیرند، سپس در فرصتی مناسب مثلاً در یک مکان عمومی مانند فرودگاه، کافه یا لابی هتل به هدف نزدیک می شوند.

"اساساً، زمانی که مهاجم تقریباً به سیستم قربانی دسترسی کامل پیدا کرده است او را گمراه می کند که متوجه موضوع نگردد، حمله به زمان زیادی نیاز ندارد - کل عملیات می تواند به خوبی در یک دقیقه کامل شود."

F-Secure همراه با مرکز CERT ایالات متحده، اینتل و تمام تولید کنندگان دستگاه های مربوطه را از این مسئله امنیتی مطلع کرده و از آنها خواسته است تا فوراً آن را مورد توجه قرار دهند.

به کاربران و مدیران فناوری اطلاعات در یک سازمان توصیه می شود که رمز عبور پیش فرض AMT سیستم خود را به یک رمز عبور قوی تر تغییر دهند و یا در صورتی که گزینه غیرفعال نمودن AMT در دسترسشان است آن را غیرفعال نمایند و هرگز لپ تاپ یا کامپیوتر خود را در یک مکان عمومی و بدون حضور خود رها نکنند.

 

منبع: https://thehackernews.com/2018/01/intel-amt-vulnerability.html