F-Secure scopre un bug nella funzionalità di gestione da remoto dei PC Intel

Pubblicato il: 15/01/2018
F.M.

Secondo quanto hanno appurato i ricercatori di F-secure un hacker con accesso diretto ai computer aziendali potrebbe sfruttare una falla nell’Active Management Technology dei processori vPro e prendere pieno possesso dei computer in pochi secondi.

Una nuova falla scovata dai ricercatori di F-Secure mette a rischio tutti i computer aziendali dotati di Intel Active Management Technology (Amt): presente nei processori vPro. Questa soluzione consente il monitoraggio e la manutenzione delle macchine da remoto e già in passato era stata coperta da alcune patch rilasciate dal colosso di Santa Clara.
Il nuovo bug scoperto da F-Secure, pur richiedendo l’accesso fisico ai computer per essere sfruttato, può essere più pericoloso perché “l’exploit non richiede una sola linea di codice e si attiva in pochi secondi”. I ricercatori hanno scritto che un attacco portato a termine con successo permette all’hacker di aggirare completamente la password del Bios, la codifica Bitlocker, il pin del Trusted Module Platform (Tpm) e infine anche le credenziali di accesso impostate dall’utente. In questo modo i Pc possono poi essere controllati anche da remoto.

“L’attacco è incredibilmente semplice da mettere in pratica, ma ha un potenziale distruttivo incredibile”, ha spiegato Harry Sintonen, senior security consultants di F-Secure. “In pratica può dare a un attaccante il controllo completo di un laptop business, bypassando anche le più pervasive misure di sicurezza”.
La falla si attiva semplicemente accedendo o riavviando il computer. In fase di boot si accede poi alla pagina di configurazione del Bios tramite la combinazione di tasti Ctrl + P.
Da qui è possibile effettuare il login all’Intel Management Engine Bios Extension (Mebx) utilizzando la password di default “admin”, che difficilmente viene modificata dagli utenti. Un hacker non deve fare altro che cambiare la chiave e attivare l’accesso remoto impostando il parametro di opt-in su “Nessuno”. E il gioco è fatto.
Il malintenzionato può quindi penetrare da remoto nei sistemi, a patto però che si trovi nello stesso segmento di rete della vittima.
Secondo F-Secure è possibile anche agganciare i laptop anche da network esterni, ma questo richiede alcuni passaggi ulteriori.
La vulnerabilità, ricorda l’azienda finlandese, non è comunque collegata ai bug Spectre e Meltdown emersi a inizio mese.
Un portavoce di Intel ha dichiarato: “Apprezziamo che la comunità di ricercatori di sicurezza richiami l’attenzione sul fatto che alcuni produttori di sistemi non configurino le proprie soluzioni per proteggere il Mebx. Nel 2015 abbiamo pubblicato le nostre linee guida, aggiornate poi a novembre 2017, e sproniamo gli Oem affinché configurino i propri sistemi per aumentare al massimo la sicurezza”.
In attesa di maggiori informazioni, che dovranno comunque arrivare dai singoli produttori e non da Intel, che questa volta sembra aver fatto di tutto per sensibilizzare i propri partner tecnologici, l’unico modo per evitare una compromissione dei computer è sostituire la password di default con una più complessa. Altrimenti, una soluzione più drastica è quella di disattivare completamente la funzionalità Amt.

Categorie: Mercato

Tag:

Area Social