Na Spectre en Meltdownn is er opnieuw een lek gevonden in Intel-chips. Door onveilige instellingen in de Active Management Technology kunnen hackers met fysieke toegang tot laptops de gebruikerswachtwoorden, bios-wachtwoorden, tmp en Bitlocker pin-codes omzeilen.
Het nieuwe achterpoortje is gevonden door het Finse beveiligingsbedrijf F-Secure en zit in miljoenen zakelijke laptops. Het probleem ligt hem bij de AMT of active management technology. Intel AMT is een oplossing voor remote access monitoring en beheer van bedrijfslaptops en -pc’s. Dankzij Intel AMT kunnen it-afdelingen of managed service providers de gebruikte apparaten in een bedrijf beter beheren. De technologie wordt met name gebruikt in zakelijke laptops en is eerder in verband gebracht met zwakke beveiliging.
De basis van het huidige lek is dat het instellen van een bios-wachtwoord niet de toegang tot het AMT-bios beschermt. Normaliter wordt een bios-wachtwoord ingesteld om het voor ongeautoriseerde gebruikers onmogelijk te maken een laptop te rebooten of low-level wijzigingen aan te brengen. Doordat het AMT-bios ook zonder dit wachtwoord te benaderen is, kunnen hackers zichzelf vrij gemakkelijk toegang verschaffen tot de laptop en hierop wijzigingen aanbrengen zodat zij ook op afstand toegang hebben tot de laptop (en de bedrijfsdata die daarop staat).
‘Het lek lijkt bijna te simpel om waar te zijn, maar heeft een vernietigende impact als deze wordt ingezet,’ zegt Harry Sintonen, senior security consultant bij F-Secure. ‘In de praktijk kan een hacker hierdoor totale controle over de laptop van een gebruiker krijgen. Ongeacht welke strenge en uitgebreide beveiligingsmaatregelen het bedrijf heeft getroffen.’
Rebooten
Om gebruik te maken van het lek hoeft een hacker slechts éénmaal fysiek de laptop te rebooten of op te starten en tijdens het opstarten ctrl-p in te toetsen. Daarna kan de hacker inloggen in het Intel Management Engine Bios Extension (MEBx) met gebruik van het default wachtwoord ‘admin’. In de meeste gevallen is dit standaard wachtwoord niet aangepast op bedrijfslaptops. De hacker kan vervolgens het default wachtwoord zelf aanpassen, remote access activeren en de user opt-in van AMT instellen op ‘None’. Nu heeft de hacker op afstand toegang tot het systeem, zowel via draadloze als bekabelde bedrijfsnetwerken. Zo lang als de hacker zich maar in hetzelfde netwerksegment bevindt als de gehackte laptop. Via een Cira-server kan de hacker zich zelfs toegang verlenen tot de gehackte laptop als hij zich buiten het netwerk bevindt.
Ook al is er fysieke toegang nodig voor de initiële hack, dan is dit snel en relatief gemakkelijk te organiseren, aldus Sintonen. ‘Stel: je laat jouw laptop in een hotelkamer achter terwijl je even iets gaat drinken in de lobby. De aanvaller verschaft zichzelf toegang tot de hotelkamer en kan binnen een minuut jouw laptop herconfigureren. Nu heeft hij toegang tot jouw computer, zolang je gebruikmaakt van de Wi-Fi van het hotel. Aangezien de laptop aangesloten zit op de vpn van jouw bedrijf, heeft de hacker via jouw computer toegang tot het bedrijfsnetwerk en de bedrijfsgegevens.’ Sintonen waarschuwt dat een minuut afleiding op een luchthaven of in een restaurant al voldoende is om de laptop te compromitteren.
De AMT-bug staat helemaal los van Spectre en Meltdown en treft geen Apple-machines. Intel heeft een speciale webpagina klaargestoomd met best practices en advies rond het gebruik van AMT: Security Best Practices of Intel Active Management Technology Q&A.