image

Zakelijke laptops lopen risico door standaardwachtwoord Intel AMT

vrijdag 12 januari 2018, 12:21 door Redactie, 6 reacties
Laatst bijgewerkt: 12-01-2018, 14:44

Een aanvaller die fysieke toegang tot een systeem met de Intel Active Management Technology (AMT) heeft kan eenvoudig remote beheer inschakelen als het standaardwachtwoord niet is gewijzigd, zo waarschuwt anti-virusbedrijf F-Secure. AMT biedt organisaties de mogelijkheid om systemen op afstand te beheren.

Deze feature kan echter ook door een aanvaller worden misbruikt, die zo toegang tot het systeem en de informatie daarop kan krijgen, aldus F-Secure. Een aanvaller moet hiervoor wel eerst fysieke toegang tot een computer hebben. Vervolgens herstart de aanvaller de machine en laadt het bootmenu. Ongeacht of er een bios-wachtwoord is ingesteld kan Intel's Management Engine BIOS Extension (MEBx) worden geselecteerd. Het standaardwachtwoord om hierop in te loggen is admin.

Als een organisatie het standaardwachtwoord niet heeft gewijzigd kan de aanvaller via het wachtwoord admin inloggen en de remote beheer-optie van Intel's AMT inschakelen. Vervolgens is het mogelijk voor de aanvaller om toegang tot de machine te krijgen zolang hij op hetzelfde netwerksegment als het doelwit zit. Het inschakelen van draadloze toegang vereist een aantal extra stappen, aldus F-Secure.

De virusbestrijder merkt op dat het hier niet om een kwetsbaarheid gaat, maar een combinatie van een standaardwachtwoord, onveilige standaardconfiguratie en onverwacht gedrag. Organisaties kunnen zich beschermen door het standaardwachtwoord te wijzigen of wanneer het mogelijk is AMT geheel uit te schakelen. Eindgebruikers krijgen het advies om hun systemen niet onbeheerd achter te laten (pdf).

Image

Reacties (6)
12-01-2018, 12:51 door Anoniem
Oh wow... Wat een "research"... Een default password niet veranderen is ehhh... Gevaarlijk... Goed gedaan F-Secure! Dit had niemand kunnen verwachten, toch?
12-01-2018, 13:03 door Anoniem
Maar wat ik ff niet begrijp is hoe een aanvaller toegang kan krijgen tot mijn laptop als deze staat uitgeschakeld en niet via een kabel gebruikt wordt maar alleen via wifi. Er staat een bios wachtwoord op maar hoe kan dan toch het bootmenu geladen worden als er een admin bios wachtwoord op staat. Als ik mijn laptop opstart flitst even een scherm voorbij van de fabrikant en dan direct een password scherm. Ik kan alle F toetsen willen gebruiken tijdens het booten maar ik kom altijd in het password scherm terecht. Dat is niet te bypassen lijkt me. Of misschien is er toch nog een truukje waar we ons tegen moeten wapenen?
12-01-2018, 13:38 door Anoniem
Door Anoniem: Maar wat ik ff niet begrijp is hoe een aanvaller toegang kan krijgen tot mijn laptop als deze staat uitgeschakeld en niet via een kabel gebruikt wordt maar alleen via wifi. Er staat een bios wachtwoord op maar hoe kan dan toch het bootmenu geladen worden als er een admin bios wachtwoord op staat. Als ik mijn laptop opstart flitst even een scherm voorbij van de fabrikant en dan direct een password scherm. Ik kan alle F toetsen willen gebruiken tijdens het booten maar ik kom altijd in het password scherm terecht. Dat is niet te bypassen lijkt me. Of misschien is er toch nog een truukje waar we ons tegen moeten wapenen?

<CTRL> + P geprobeerd?
12-01-2018, 14:34 door User2048
Anoniem@13:03
Ik heb het geprobeerd op mijn laptop met full disk encryptie. Als ik ctrl+p indruk direct na het opstarten, dan kom ik inderdaad in het MEBx menu terecht. Normaal gesproken komt binnen een paar tellen het inlogscherm van de full disk encryptie tevoorschijn, dus je moet wel snel zijn met ctrl+p.

Ik heb verder niets geprobeerd, want ik wil de configuratie van mijn (baas z'n) laptop niet stuk maken...
12-01-2018, 16:31 door Anoniem
Bij een Dell kun je helemaal niks met MEBx zonder het wachtwoord aan te passen, en dat moet ook nog een
sterk wachtwoord zijn.
12-01-2018, 17:47 door Anoniem
Ctrl-P tijdens opstarten heb ik getest maar heeft geen effect: er verschijnt geen AMT scherm (Cpu is een Intel Core i7 870). Is deze niet kwetsbaar omdat het geen ¨V-pro enabled¨ processor is? Dit staat niet in het artikel. Dus de vraag is: welke processoren zijn wel of niet kwetsbaar?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.