Intel AMT 是 Intel CPU 的一个功能,能让更大网络中的系统管理员对个人计算机执行远程带外管理,从远程进行监控、维护、更新或执行更新。
事件还原
Intel 似乎开年不顺,屋漏偏逢连夜雨。F-Secure 公司的研究人员 Harry Sintonen发现了一种方法能通过 Intel AMT 绕过 BIOS 密码、BitLokcer 凭证、TPM 码并获得访问企业计算机的权限。Sintonen 表示,只有在电脑上配置了 Intel AMT 才易受攻击。另外他指出自己早在去年7月就发现了这个问题。
攻击者可经由 MEBx 启动电脑并绕过其它登录系统
Sintonen 指出,配置 AMT 但并未部署密码保护的计算机易受攻击。他指出,能访问设备的恶意人员可在启动进程时按下 CTRL+P 并未启动例程选择 Intel 管理引擎BIOS 扩展 (MEBx),从而有效地绕过之前的 BIOS、BitLokcer 或 TPM 登录凭证。
虽然要求输入 MEBx 密码,但Sintonen 指出在多数情况下企业并未更改默认密码 “admin”。攻击者可能更改默认密码,启用远程登录并将 AMT 的用户“选择加入 (opt-in)”更改为 “None”。攻击者只要能够将自己插入跟受害者同样的网络,就能获取对无线和有线网络系统的远程访问权限。通过攻击者运营的CIRA服务器从本地网络之外也可能获取访问权限。
视频还原
执行攻击不到一分钟
多数安全专家因攻击要求获取“物理权限”而对此不屑一顾,经常觉得跟其它安全问题相比,重要性不高。但由于该攻击仅需一分钟实施而且能配置设备以便远程访问,因此 Sintonen 表示不应忽视这个问题的重要性。Sintonen 建议称,企业应该配置一个 AMT 密码,这样攻击者无法通过 MEBx 启动并攻陷系统。不同于 Intel ME 组件,AMT 可禁用,因此他建议如果企业策略不要求使用 AMT 时可将其禁用。
根据原始设备制造商的策略,Inte AMT 的配置或者是禁用或者是启用,另外禁用该功能的方法也取决于原始设备制造商。Intel 公司的一名发言人指出,非常感谢安全研究界呼吁人们认识到某些系统制造商并未将系统配置为保护Intel MEBx的状态。Intel 公司已在2015年发布了配置系统的最佳方法并在2017年11月发布相关更新。Intel 强烈建议原始设备制造商将系统配置为安全性最高的状态。
发表评论
您还未登录,请先登录。
登录