Intel Active Management Technology (AMT) sérülékenysége

CH azonosító

CH-12564

Angol cím

Intel Active Management Technology (AMT) vulnerability

Felfedezés dátuma

2015.08.28.

Súlyosság

Magas

Érintett rendszerek

Intel
Intel Active Management Technology SDK

Érintett verziók

Nem részletezett.

Összefoglaló

Az Intel egy integrált platformon keresztül nyújt külső szervezői és biztonsági alkalmazásokat a különféle hálózatok felé, ezt Active Management Technology-nak (AMT) nevezik. Az AMT a távkarbantartás elvégzéséhez csatlakozik a PC-khez a beállítások végrehajtása érdekében.

Egy újonnan felállított rendszer nem biztonságos, mert egy alapértelmezett jelszóval rendelkezik. A rosszindulatú helyi támadó egy előre kialakított USB-eszköz segítségével kihasználhatja az alapértelmezett jelszót az érintett rendszeren és az AMT-n keresztül újra konfigurálhatja a PC-t. 

Leírás

Minden olyan gyártó érintett lehet, aki az Intel AMT-vel ellátott lapkakészletét használja. Mivel az AMT-t tartalmazó Intel Management Engine csak vállalatok számára érhető el, normális esetben az egyéni felhasználókat nem érinti ez a sérülékenység.

A támadónak néhány másodperc is elegendő, hogy hozzáférjen a sérülékeny rendszerhez, csatlakoztassa az előre kialakított USB eszközt és átvegye a rendszer feletti irányítást. A támadás során arra törekszik, hogy később is képes legyen távolról vezérelni a rendszert, beleértve az adatok olvasását és módosítását. Az operációs rendszer által alkalmazott biztonsági intézkedések nem tudják megakadályozni a támadást, a felismerése is csak bizonyos körülmények esetén lehetséges.

A sérülékenység különösen a mobil rendszereknél releváns, mivel ezek általában nem tartoznak a tulajdonos folyamatos ellenőrzése alá, így megvalósíthatóvá válik a rendszerhez való illetéktelen hozzáférés.

Az alábbi biztonsági intézkedések nem biztosítanak teljes védelmet a biztonsági rés kihasználhatósága ellen:

  • Az AMT letiltása a BIOS-ban.
  • Az USB eszközökről történő bootolás letiltása.
  • A BIOS jelszavakkal történő védelme.

Javasolt intézkedések:

Az AMT használata előtt szükséges annak újrakonfigurálása, egy új, biztonságos jelszó beállításával. Ezután az AMT alrendszerét le lehet kapcsolni (a BIOS beállításokkal). Fontos, hogy pusztán a rendszer kikapcsolása új jelszó megadása nélkül nem elégséges.

Az Intel lapkakészletével ellátott egyes modellekben ez az ellenintézkedés nem hatékony. Az AMT deaktiválása eltávolítja a beállított jelszót, és újraindítja az alapértelmezett jelszót. Ezt minden esetben le kell ellenőrizni. A jelszó beállítását és az AMT kikapcsolását minden új eszköz beüzemelésekor el kell végezni.

Detektálás:

A hálózat monitorozása képes azonosítani az AMT adatkommunikációját. Az azonosításnak külsőnek kell lennie, mert az AMT adatkommunikáció nem továbbítódik az operációs rendszer felé.

Az AMT a következő portokat használja:

  • 16992 -16995: Intel(R) AMT HTTP(S) // Intel(R) AMT Redirection/TCP / TLS
  • 623: ASF Remote Management and Control Protocol (ASF-RMCP)
  • 664: DMTF out-of-band secure web services management protocol // ASF Secure Remote Management and Control Protocol (ASF-RMCP)
  • 5900: Standard VNC Port

Az AMT saját IP címet használ, amely különbözik a PC által használt IP címtől. Alapesetben DHCP protokollt használnak, de az IP címet közvetlenül is ki lehet osztani.

Megoldás

Lásd: “Javasolt intézkedések”