Descubierto un problema de seguridad que afecta a portátiles corporativos
F-Secure acaba de hacer público un problema relacionado con Intel AMT que permite a los atacantes omitir las credenciales de inicio de sesión en ordenadores portátiles de empresa.
La compañía de seguridad F-Secure informa estos días de un problema de seguridad que afecta a la mayoría de los ordenadores portátiles de empresa cuya configuración esté basada en los procesadores de Intel de la familia vPro. El fallo radica en que se otorga acceso a un atacante a través de una puerta trasera de un dispositivo en menos de 30 segundos, aprovechándose de una funcionalidad del chip AMT. De hecho, la vulnerabilidad se aprovecha del acceso remoto que es posible llevar a cabo para conectarse al equipo eludiendo la necesidad de ingresar credenciales, incluidas las contraseñas de la BIOS y de Bitlocker. Se estima que el problema podría afectar a millones de ordenadores de todo el mundo.
Según afirman los investigadores que han descubierto la vulnerabilidad, el problema de seguridad resulta simple de explotar, con el aliciente de que tiene un gran potencial de destrucción, destaca Harry Sintonen, consultor en F-Secure. En la parte práctica, puede conceder a un atacante el control total sobre el ordenador.
Intel AMT es una característica que ofrecen los procesadores de Intel Core dotados de la tecnología vPro. Utiliza para ello prestaciones de plataformas integradas y las conocidas aplicaciones de seguridad y de gestión de terceros para permitir a los departamentos de TI o a los proveedores de servicios gestionados, descubrir, reparar y proteger mejor sus activos informáticos que se encuentran conectados a la red. La herramienta está pensada para ahorrar tiempo con el mantenimiento remoto y la capacidad de gestión inalámbrica, de manera que garantice incluso la posibilidad de borrar de forma segura el disco duro del equipo en caso de que un empleado sufra un robo o pérdida del equipo.
Todo lo que el atacante debe hacer es reiniciar o encender la máquina de destino y presionar CTRL-P durante el arranque. A continuación, el atacante puede iniciar una sesión en Intel Management Engine BIOS Extension (MEBx) con la contraseña predeterminada de “admin” ya que es muy probable que este valor predeterminado no haya sido modificado en la mayoría de ordenadores. Así, el atacante puede cambiar la contraseña a su gusto, habilitar el acceso remoto o establecer la opción de usuario de AMT en “ninguno”. El atacante obtendrá acceso remoto al sistema incluso desde redes inalámbricas, y no solo cableadas, siempre que puedan conectarse al mismo segmento de red en el que se encuentre el equipo. El acceso al dispositivo también puede llevarse a cabo desde fuera de la red local a través de un servidor CIRA controlado por un atacante.
Desde la compañía de seguridad F-Secure abogan por el hecho de que las organizaciones y los responsables de TI conozcan los detalles de la misma para que puedan solucionarlos antes de que los atacantes los exploten. En este sentido, conviene que los responsables modifiquen la clave configurada por defecto para evitar el acceso inicial.
El problema puede afectar a la inmensa mayoría de equipos que admiten Intel Management Engine o Intel AMT. No está relacionado con las vulnerabilidades recientemente reveladas de Spectre y Meltdown en los chip.
Desde Intel recomiendan también que se fije una contraseña para acceder a la BIOS de los equipos en estos entornos profesionales de empresa, a pesar de que muchos fabricantes de ordenadores no siguen este consejo. Para conocer el asesoramiento de Intel sobre este tema, es posible consultar las “Mejores Prácticas de Seguridad de la tecnología de gestión de Intel AMT”.
Declaraciones de Intel (noticia actualizada)
La compañía nos hace llegar la siguiente información al respecto de lo comentado:
“Agradecemos a la comunidad de expertos en seguridad que llame la atención sobre el hecho de que algunos fabricantes de sistemas no han configurado sus sistemas para proteger la Extensión de BIOS de Intel Management Engine (MEBx). En 2015 emitimos una guía sobre las mejores prácticas de configuración que fue actualizada en noviembre de 2017, e instamos encarecidamente a los OEM a configurar sus sistemas para maximizar la seguridad. En Intel nuestra mayor prioridad es la seguridad de nuestros clientes, y continuaremos actualizando regularmente nuestra guía a los fabricantes para asegurarnos de que tengan la mejor información sobre cómo proteger sus datos”.
• No se trata de un problema técnico de la tecnología AMT de Intel.
• La tecnología Intel Active Management (Intel AMT) es una característica de los procesadores Intel Core con tecnología Intel vPro1.2 y estaciones de trabajo basadas en procesadores Intel Xeon seleccionados. Intel AMT utiliza capacidades de plataforma integradas y aplicaciones populares de administración y seguridad de terceros para permitir que los proveedores de TI o de servicios gestionados descubran, reparen y ayuden a proteger mejor sus activos informáticos en red. Intel AMT también ahorra tiempo con mantenimiento remoto y capacidad de administración inalámbrica para el impulso de la movilidad en el entorno laboral y borrado seguro de unidades para simplificar las transiciones del ciclo de vida del PC.
• La configuración del Intel Management Engine BIOS Extension (MEBx) se utiliza para activar o desactivar Intel AMT y configurarlo.
• Intel recomienda que el acceso a MEBx esté protegido por la contraseña del BIOS que protege otras configuraciones del BIOS.
• La nueva investigación indica que algunos fabricantes de sistemas no requerían una contraseña del BIOS para acceder a MEBx. Como resultado, una persona no autorizada con acceso físico a un ordenador en el cual el acceso a MEBx no está restringido, y en la que AMT ofrece una configuración predeterminada de fábrica, podría alterar sus configuraciones de AMT.
• Al descubrir esta potencial configuración incorrecta, Intel recomendó en 2015 que los fabricantes de sistemas brindaran una opción del BIOS del sistema para desactivar el aprovisionamiento USB y establecer el valor “deshabilitado” de forma predeterminada. Esto también ayuda a asegurar que el acceso a MEBx sea más controlado.
• En 2015 emitimos una guía sobre las mejores prácticas de configuración que fue actualizada en noviembre de 2017, e instamos encarecidamente a los OEM a configurar sus sistemas para maximizar la seguridad
• Actualizamos regularmente nuestra guía a los fabricantes de sistemas para asegurarnos de que tengan la mejor información. Puedes encontrar más sobre esto en las mejores prácticas de seguridad de AMT.
