datasheet

英特尔,最新AMT漏洞了解一下

2018-01-26 19:35:49来源: 互联网 关键字:英特尔  AMT漏洞

虽然过去咨询安全研究人员也曾发现一些严重的 AMT 漏洞,但最近发现的漏洞破坏力特别大。黑客一行程序代码都不用打,只需不到半分钟的时间就可以用漏洞控制整个设备,• 影响大多数使用 Intel CPU 的笔记本电脑……

仿佛是嫌Meltdown/Spectre两个漏洞闹得还不够大,芬兰信息安全公司F-Secure的研究员Harry Sintonen又发现了Intel CPU处理器中的一个新漏洞,影响数以百万计的企业级笔记本。

只需30秒,你的电脑就听别人的话了

新的安全漏洞存在于Intel AMT主动管理技术(Active Management Technology)中,黑客可利用不安全和误导性的预设行为,在本地端绕过正规登陆流程完全控制用户设备,30秒内就能完成入侵。

尽管想利用这个漏洞,必须亲自拿到受害者的笔记本,但是Sintonen仍然将其列为高危级别,因为黑客只需不到半分钟的时间就可以用漏洞控制整个设备,然后接入同一网络,实现远程控制。

更进一步地,即便你设置了BIOS密码,开启了BitLocker、TPM锁定功能,或者安装了杀毒软件,都无法防御

黑客可以借助Intel管理引擎BIOS扩展(MEBx),直接使用admin账户和默认密码登陆,从而拿到系统完全控制权限,窃取数据、植入木马病毒什么的都可以为所欲为。

AMT的存在本来是为了方便群组管理

AMT 是商用计算机的 Intel 芯片组功能,让企业 IT 管理者能妥善管理广大的设备,方便远程管理、维修组织内的个人计算机、工作站、服务器。

虽然过去咨询安全研究人员也曾发现一些严重的 AMT 漏洞,但最近发现的漏洞破坏力特别大:

• 一行程序代码都不用打就可以用。 • 影响大多数使用 Intel CPU 的笔记本电脑。 • 可使攻击者远程控制受影响的系统以供日后使用。

F-secure研究人员演示漏洞攻击视频:https://www.youtube.com/watch?time_continue=3&v=aSYlzgVacmw

邪恶女仆攻击

以下是如何利用这个 AMT 漏洞攻击的方法,目标是一台受密码保护的计算机(系统登入密码和 BIOS 密码):

为了触发这个漏洞,攻击者需要以物理操作方式对目标计算机开机或重开机。

在开机的启动程序(booting process)中按 CTRL-P,进入 Intel 管理引擎 BIOS 延伸模块(Intel Management Engine BIOS Extension ,缩写 MEBx)画面,正如示范影片的动作。

MEBx 的默认密码是“admin”,大多数公司笔记本电脑很可能保持不变。

登录后,攻击者可更改默认密码,并启用远程遥控。

关闭 AMT“User opt-in”。

这样一来,受害者在计算机的任何操作,就永远翻不出攻击者的手掌心了。

这话怎么说呢?因为在步骤四里,AMT 密码修改以后,用户日后将永远无法再掌控这台笔电 AMT 的行为,而且不可逆;步骤五的 User opt-in 是笔电用户的一次性密码,本来的设计是 IT 管理人员要启动远程遥控时,需要取得计算机用户的同意──用户需要用电话传达这个一次性密码,管理人员才能开通远程遥控。

然而现在这个功能可被关掉(缘由是方便企业 IT 管理人员远程维护),受害者将毫不知情被远程监控,这也不是你重装系统可解决,因为漏洞在比操作系统更底层的主板芯片里。

虽然如此,这不过就是另一个本地端漏洞嘛,又不是大家关注的网络资安漏洞,然而 Sintonen 进一步说明这个漏洞的危害严重度:“攻击者辨识、确认好要攻击的目标后,他们就可在机场、咖啡馆、饭店大厅等公开场所进行‘邪恶女仆’式攻击。”

电影里常常出现的桥段

什么是“邪恶女仆”(evil maid’scenario)攻击呢? 基本上,就是谍报电影常出现的桥段──比如当目标人物下榻特定旅馆时,情报员贿赂饭店的女服务生,趁目标人物离开饭店时进入房间,翻找对方的行李甚至破解对方的锁来找到高价值的情报,然后赶在对方回来前恢复表面原状,而目标人物浑然不知机密已外泄,抑或破坏就在眼皮底下发生。所谓的“邪恶女仆”,就是靠你不会起疑心的人来做案。

电影《慕尼黑》就上演过这种桥段,以色列情报员乔装成不起眼的电信局人员,渗透进目标人物、一位阿拉伯学者家中帮忙“更换电话”,而被置换的电话里藏有遥控炸弹,得以暗杀对方。

▲ 电影《慕尼黑》画面。

读者若对详细剧情有兴趣就请自行参考电影。当年以色列情报员可是辛苦乔装私闯民宅,然后还要大费周章一番才达成任务,整个过程风险极大,需要的人数也很多,然而现在 AMT 漏洞可就让“办事”轻松多了。

在公开场所,只需要两名攻击者就可以得逞:由一名攻击者分散受害者的注意力,把对方带离开计算机,另一名攻击者只要短暂接触受害者的笔记本电脑,不用超过 1 分钟就可以开通 AMT 远程遥控,此后你的计算机再也不是你的计算机,而是坏人监控你的利器,甚至是攻击你公司 IT 设备网络的起点。

F-Secure 已透过美国计算机网络危机处理中心 CERT ,通知 Intel 和所有相关设备制造商这个安全问题,并迫切要求他们紧急处理。同时,F-Secure 也呼吁任何企业团体或组织用户和 IT 管理员,应该把计算机 AMT 默认密码更改为强密码,或干脆禁用 AMT,且不要让自己的笔记本电脑或台式机处于无人看管的情况。

当然如果你曾有如此印象:“只不过离开计算机一下,回来时计算机画面跟离开前有点不一样(可能被重开机了)”,那你应该要检查一下 BIOS AMT 相关设定,也许你本来根本不知道自己计算机有 AMT 功能,也根本没使用过,然而前述 AMT 默认密码输入却无效,无法调整设定,那么你该心里有数快做必要处置了。

F-Secure 高级安全研究员 Harry Sintonen 表示,其实他们 2017 年 7 月就发现这个问题,他说:“这个攻击几乎看似简单,但有令人难以置信的破坏潜力。实际上,即使最严密的安全措施,也可让攻击者在本地端完全控制受害者工作用的笔记本电脑。”

Intel尚未就此作出回应。


关键字:英特尔  AMT漏洞

编辑:鲁迪 引用地址:http://www.eeworld.com.cn/afdz/article_2018012611538.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:让黑客无可奈何 盘点几大公司安全解决方案
下一篇:美英士兵使用健身追踪应用Strava曝光了秘密军事基地

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

网友正在学习IC视频

推荐阅读
全部
英特尔
AMT漏洞

小广播

独家专题更多

东芝在线展会——芯科技智社会创未来
东芝在线展会——芯科技智社会创未来
2017东芝PCIM在线展会
2017东芝PCIM在线展会
TI车载信息娱乐系统的音视频解决方案
TI车载信息娱乐系统的音视频解决方案
汇总了TI汽车信息娱乐系统方案、优质音频解决方案、汽车娱乐系统和仪表盘参考设计相关的文档、视频等资源

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2018 EEWORLD.com.cn, Inc. All rights reserved