Nieuws

Zakelijke laptops lopen risico door standaardwachtwoord Intel AMT

vrijdag 12 januari 2018, 12:21 door Redactie, 6 reacties

Laatst bijgewerkt: 12-01-2018, 14:44

Een aanvaller die fysieke toegang tot een systeem met de Intel Active Management Technology (AMT) heeft kan eenvoudig remote beheer inschakelen als het standaardwachtwoord niet is gewijzigd, zo waarschuwt anti-virusbedrijf F-Secure. AMT biedt organisaties de mogelijkheid om systemen op afstand te beheren.

Deze feature kan echter ook door een aanvaller worden misbruikt, die zo toegang tot het systeem en de informatie daarop kan krijgen, aldus F-Secure. Een aanvaller moet hiervoor wel eerst fysieke toegang tot een computer hebben. Vervolgens herstart de aanvaller de machine en laadt het bootmenu. Ongeacht of er een bios-wachtwoord is ingesteld kan Intel's Management Engine BIOS Extension (MEBx) worden geselecteerd. Het standaardwachtwoord om hierop in te loggen is admin.

Als een organisatie het standaardwachtwoord niet heeft gewijzigd kan de aanvaller via het wachtwoord admin inloggen en de remote beheer-optie van Intel's AMT inschakelen. Vervolgens is het mogelijk voor de aanvaller om toegang tot de machine te krijgen zolang hij op hetzelfde netwerksegment als het doelwit zit. Het inschakelen van draadloze toegang vereist een aantal extra stappen, aldus F-Secure.

De virusbestrijder merkt op dat het hier niet om een kwetsbaarheid gaat, maar een combinatie van een standaardwachtwoord, onveilige standaardconfiguratie en onverwacht gedrag. Organisaties kunnen zich beschermen door het standaardwachtwoord te wijzigen of wanneer het mogelijk is AMT geheel uit te schakelen. Eindgebruikers krijgen het advies om hun systemen niet onbeheerd achter te laten (pdf).

Rechtszaak tegen de Staat over risicoprofilering burgers

Mozilla gaat Firefox ESR van policy engine voorzien

Reacties (6)

12-01-2018, 12:51 door Anoniem

Oh wow... Wat een "research"... Een default password niet veranderen is ehhh... Gevaarlijk... Goed gedaan F-Secure! Dit had niemand kunnen verwachten, toch?

12-01-2018, 13:03 door Anoniem

Maar wat ik ff niet begrijp is hoe een aanvaller toegang kan krijgen tot mijn laptop als deze staat uitgeschakeld en niet via een kabel gebruikt wordt maar alleen via wifi. Er staat een bios wachtwoord op maar hoe kan dan toch het bootmenu geladen worden als er een admin bios wachtwoord op staat. Als ik mijn laptop opstart flitst even een scherm voorbij van de fabrikant en dan direct een password scherm. Ik kan alle F toetsen willen gebruiken tijdens het booten maar ik kom altijd in het password scherm terecht. Dat is niet te bypassen lijkt me. Of misschien is er toch nog een truukje waar we ons tegen moeten wapenen?

12-01-2018, 13:38 door Anoniem

Door Anoniem: Maar wat ik ff niet begrijp is hoe een aanvaller toegang kan krijgen tot mijn laptop als deze staat uitgeschakeld en niet via een kabel gebruikt wordt maar alleen via wifi. Er staat een bios wachtwoord op maar hoe kan dan toch het bootmenu geladen worden als er een admin bios wachtwoord op staat. Als ik mijn laptop opstart flitst even een scherm voorbij van de fabrikant en dan direct een password scherm. Ik kan alle F toetsen willen gebruiken tijdens het booten maar ik kom altijd in het password scherm terecht. Dat is niet te bypassen lijkt me. Of misschien is er toch nog een truukje waar we ons tegen moeten wapenen?

<CTRL> + P geprobeerd?

12-01-2018, 14:34 door User2048

Anoniem@13:03

Ik heb het geprobeerd op mijn laptop met full disk encryptie. Als ik ctrl+p indruk direct na het opstarten, dan kom ik inderdaad in het MEBx menu terecht. Normaal gesproken komt binnen een paar tellen het inlogscherm van de full disk encryptie tevoorschijn, dus je moet wel snel zijn met ctrl+p.

Ik heb verder niets geprobeerd, want ik wil de configuratie van mijn (baas z'n) laptop niet stuk maken...

12-01-2018, 16:31 door Anoniem

Bij een Dell kun je helemaal niks met MEBx zonder het wachtwoord aan te passen, en dat moet ook nog een
sterk wachtwoord zijn.

12-01-2018, 17:47 door Anoniem

Ctrl-P tijdens opstarten heb ik getest maar heeft geen effect: er verschijnt geen AMT scherm (Cpu is een Intel Core i7 870). Is deze niet kwetsbaar omdat het geen ¨V-pro enabled¨ processor is? Dit staat niet in het artikel. Dus de vraag is: welke processoren zijn wel of niet kwetsbaar?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer