Intel AMT in configurazione predefinita permette di spiare i PC aziendali da remoto

Gli esperti di F-Secure hanno in questi mesi studiato in modo approfondito il comportamento di una funzionalità integrata nei processori Intel dotati di tecnologia vPro: Vulnerabili i processori Intel con tecnologia vPro e AMT attiva.

La problematica messa a nudo dal team di F-Secure non ha nulla a che vedere con le recenti Meltdown e Spectre pur costituendo una minaccia, nel breve periodo, forse ancora più grave rispetto ad esse.
La tecnologia Intel AMT (Active Management Technology) viene principalmente utilizzata per facilitare le operazioni di gestione remota del sistema in uso.

Già in passato erano state individuate alcune vulnerabilità (Falla nei processori Intel con tecnologia vPro: facile sferrare un attacco) ma i tecnici di F-Secure hanno spiegato che porre in essere un’aggressione è davvero semplicissimo e se si considera che le vittime dell’attacco sono principalmente aziende e utenti professionali ben si comprende come i rischi siano davvero elevati.

F-Secure spiega che AMT, nella sua configurazione predefinita, può essere utilizzata come una backdoor per accedere ai sistemi altrui.
Un aggressore che abbia la disponibilità fisica del dispositivo da violare (desktop o notebook) in appena 30 secondi di tempo può riconfigurare AMT in maniera tale che accetti connessioni remote. E ciò indipendentemente che sulla macchina sia attivato BitLocker, senza conoscere l’eventuale password del BIOS e i pin di TPM.

Di solito gli utenti business non modificano la password di default usata per proteggere l’accesso ad AMT: l’aggressore deve quindi solo limitarsi a riavviare la macchina e premere la combinazione di tasti CTRL+P durante la fase di boot.
Una volta effettuato il login all’interno dell’Intel Management Engine BIOS Extension (MEBx) usando la password predefinita admin, il malintenzionato ha carta bianca per abilitare l’accesso remoto in AMT e impostare su None la voce user opt-in.
A questo punto l’aggressore può accedere al sistema da remoto, sia utilizzando una connessione Ethernet che una wireless.

È vero che l’attacco non può prescindere dalla disponibilità fisica del dispositivo; si pensi però al seguente scenario. Un professionista utilizza la WiFi di un hotel e lascia incustodito il suo portatile in camera. Un intruso può agire su AMT per abilitare l’accesso remoto e controllare il sistema da qualunque device collegato alla rete locale dell’hotel.
Ipotizzando che il PC della vittima si colleghi alla VPN aziendale, il malintenzionato può così spiare tutte le risorse salvate sui sistemi remoti.

L’aggressore deve trovarsi all’interno della medesima LAN cui è collegato il sistema della vittima ma il problema legato ad AMT è comunque troppo semplice da sfruttare per non essere seriamente preso in considerazione.

Agli utenti finali F-Secure consiglia di non lasciare mai il proprio portatile incustodito, di verificare la presenza del problema e di modificare subito la password predefinita di AMT.
Alle aziende viene suggerito di impostare password complesse in AMT e disattivare la funzionalità ove possible.

Niente meno che il professor Andrew S. Tanenbaum aveva severamente criticato la decisione di Intel di inserire quella che di fatto si è trasformata in una vera e propria backdoor nei suoi processori destinati alle aziende.
Tanenbaum ha anche polemizzato con Intel circa l’utilizzo del suo sistema operativo MINIX dei processori dotati di tecnologia vPro: la società avrebbe sfruttato tale piattaforma, modificandola in alcune parti, senza avvisare Tanenbaum e senza riconoscergli la paternità del lavoro: Intel ha integrato il sistema operativo MINIX nei processori business ma l’inventore non ne sapeva nulla.

Aggiornamento: diamo volentieri spazio al commento di Intel che è intervenuta per precisare come l’azienda stia svolgendo un’attività di formazione e informazioni sul corretto utilizzo di AMT:
Scrive Intel in una nota: “Apprezziamo che la community degli esperti di sicurezza abbia richiamato l’attenzione sul fatto che alcuni produttori di dispositivi non abbiano configurato i loro sistemi per proteggere l’Intel Management Engine BIOS Extension (MEBx). Abbiamo pubblicato linee guida sulle migliori pratiche di configurazione nel 2015 con aggiornamenti nel novembre 2017, e incoraggiamo fortemente gli OEM a configurare i loro sistemi per massimizzare la sicurezza. Non c’è priorità più elevata per Intel della sicurezza dei propri clienti, e continueremo regolarmente ad aggiornare le linee guida per i produttori di dispositivi per assicurarci che abbiano le migliori informazioni su come rendere sicuri i propri dati“.

Le linee guida su AMT aggiornate allo scorso mese di dicembre sono consultabili facendo riferimento a questo documento.
Tra le varie indicazioni, al punto 6, Intel suggerisce di verificare l’attivazione della funzionalità AMT e di modificare immediatamente la password predefinita.