[电子杂谈] 【AD新闻】英特尔,最新AMT漏洞了解一下

[复制链接]
发表于 2018-1-28 13:50:15   678 查看 1 回复 显示全部楼层 倒序浏览
分享
虽然过去咨询安全研究人员也曾发现一些严重的 AMT 漏洞,但最近发现的漏洞破坏力特别大。黑客一行程序代码都不用打,只需不到半分钟的时间就可以用漏洞控制整个设备,•    影响大多数使用 Intel CPU 的笔记本电脑……
仿佛是嫌Meltdown/Spectre两个漏洞闹得还不够大,芬兰信息安全公司F-Secure的研究员Harry Sintonen又发现了Intel CPU处理器中的一个新漏洞,影响数以百万计的企业级笔记本。


只需30秒,你的电脑就听别人的话了

新的安全漏洞存在于Intel AMT主动管理技术(Active Management Technology)中,黑客可利用不安全和误导性的预设行为,在本地端绕过正规登陆流程完全控制用户设备,30秒内就能完成入侵。
尽管想利用这个漏洞,必须亲自拿到受害者的笔记本,但是Sintonen仍然将其列为高危级别,因为黑客只需不到半分钟的时间就可以用漏洞控制整个设备,然后接入同一网络,实现远程控制。
更进一步地,即便你设置了BIOS密码,开启了BitLocker、TPM锁定功能,或者安装了杀毒软件,都无法防御。
黑客可以借助Intel管理引擎BIOS扩展(MEBx),直接使用admin账户和默认密码登陆,从而拿到系统完全控制权限,窃取数据、植入木马病毒什么的都可以为所欲为。


AMT的存在本来是为了方便群组管理

AMT 是商用计算机的 Intel 芯片组功能,让企业 IT 管理者能妥善管理广大的设备,方便远程管理、维修组织内的个人计算机、工作站、服务器。
虽然过去咨询安全研究人员也曾发现一些严重的 AMT 漏洞,但最近发现的漏洞破坏力特别大:
•    一行程序代码都不用打就可以用。 •    影响大多数使用 Intel CPU 的笔记本电脑。 •    可使攻击者远程控制受影响的系统以供日后使用。
F-secure研究人员演示漏洞攻击视频:https://www.youtube.com/watch?time_continue=3&v=aSYlzgVacmw


邪恶女仆攻击

以下是如何利用这个 AMT 漏洞攻击的方法,目标是一台受密码保护的计算机(系统登入密码和 BIOS 密码):
  • 为了触发这个漏洞,攻击者需要以物理操作方式对目标计算机开机或重开机。
  • 在开机的启动程序(booting process)中按 CTRL-P,进入 Intel 管理引擎 BIOS 延伸模块(Intel Management Engine BIOS Extension ,缩写 MEBx)画面,正如示范影片的动作。
  • MEBx 的默认密码是“admin”,大多数公司笔记本电脑很可能保持不变。
  • 登录后,攻击者可更改默认密码,并启用远程遥控。
  • 关闭 AMT“User opt-in”。
这样一来,受害者在计算机的任何操作,就永远翻不出攻击者的手掌心了。
这话怎么说呢?因为在步骤四里,AMT 密码修改以后,用户日后将永远无法再掌控这台笔电 AMT 的行为,而且不可逆;步骤五的 User opt-in 是笔电用户的一次性密码,本来的设计是 IT 管理人员要启动远程遥控时,需要取得计算机用户的同意──用户需要用电话传达这个一次性密码,管理人员才能开通远程遥控。
然而现在这个功能可被关掉(缘由是方便企业 IT 管理人员远程维护),受害者将毫不知情被远程监控,这也不是你重装系统可解决,因为漏洞在比操作系统更底层的主板芯片里。
虽然如此,这不过就是另一个本地端漏洞嘛,又不是大家关注的网络资安漏洞,然而 Sintonen 进一步说明这个漏洞的危害严重度:“攻击者辨识、确认好要攻击的目标后,他们就可在机场、咖啡馆、饭店大厅等公开场所进行‘邪恶女仆’式攻击。”


电影里常常出现的桥段

什么是“邪恶女仆”(evil maid’scenario)攻击呢? 基本上,就是谍报电影常出现的桥段──比如当目标人物下榻特定旅馆时,情报员贿赂饭店的女服务生,趁目标人物离开饭店时进入房间,翻找对方的行李甚至破解对方的锁来找到高价值的情报,然后赶在对方回来前恢复表面原状,而目标人物浑然不知机密已外泄,抑或破坏就在眼皮底下发生。所谓的“邪恶女仆”,就是靠你不会起疑心的人来做案。
电影《慕尼黑》就上演过这种桥段,以色列情报员乔装成不起眼的电信局人员,渗透进目标人物、一位阿拉伯学者家中帮忙“更换电话”,而被置换的电话里藏有遥控炸弹,得以暗杀对方。▲ 电影《慕尼黑》画面。
读者若对详细剧情有兴趣就请自行参考电影。当年以色列情报员可是辛苦乔装私闯民宅,然后还要大费周章一番才达成任务,整个过程风险极大,需要的人数也很多,然而现在 AMT 漏洞可就让“办事”轻松多了。
在公开场所,只需要两名攻击者就可以得逞:由一名攻击者分散受害者的注意力,把对方带离开计算机,另一名攻击者只要短暂接触受害者的笔记本电脑,不用超过 1 分钟就可以开通 AMT 远程遥控,此后你的计算机再也不是你的计算机,而是坏人监控你的利器,甚至是攻击你公司 IT 设备网络的起点。
F-Secure 已透过美国计算机网络危机处理中心 CERT ,通知 Intel 和所有相关设备制造商这个安全问题,并迫切要求他们紧急处理。同时,F-Secure 也呼吁任何企业团体或组织用户和 IT 管理员,应该把计算机 AMT 默认密码更改为强密码,或干脆禁用 AMT,且不要让自己的笔记本电脑或台式机处于无人看管的情况。
当然如果你曾有如此印象:“只不过离开计算机一下,回来时计算机画面跟离开前有点不一样(可能被重开机了)”,那你应该要检查一下 BIOS AMT 相关设定,也许你本来根本不知道自己计算机有 AMT 功能,也根本没使用过,然而前述 AMT 默认密码输入却无效,无法调整设定,那么你该心里有数快做必要处置了。
F-Secure 高级安全研究员 Harry Sintonen 表示,其实他们 2017 年 7 月就发现这个问题,他说:“这个攻击几乎看似简单,但有令人难以置信的破坏潜力。实际上,即使最严密的安全措施,也可让攻击者在本地端完全控制受害者工作用的笔记本电脑。”
Intel尚未就此作出回应。
标签:新闻 英特尔

实习生

发表于 2018-4-6 14:32:02  
是我的行业,了解了解就知道了
回复

点赞 举报

高级模式
您需要登录后才可以回帖 登录 | 注册

关闭

站长推荐 上一条 /8 下一条

快速回复 返回顶部 返回列表
-

推荐专区

技术干货集中营

专家问答

用户帮助┃咨询与建议┃版主议事

工程师杂谈

工程师创意

工程师职场

论坛电子赛事

社区活动专版

发烧友活动

-

嵌入式论坛

ARM技术论坛

Android论坛

Linux论坛

单片机/MCU论坛

MSP430技术论坛

FPGA|CPLD|ASIC论坛

STM32/STM8技术论坛

NXP MCU 技术论坛

PIC单片机论坛

DSP论坛

瑞萨单片机论坛

嵌入式系统论坛

-

电源技术论坛

电源技术论坛

无线充电技术

-

硬件设计论坛

PCB设计论坛

电路设计论坛

电子元器件论坛

控制|传感

总线技术|接口技术

-

测试测量论坛

LabVIEW论坛

Matlab论坛

测试测量技术专区

仪器仪表技术专区

-

EDA设计论坛

multisim论坛

PADS技术论坛

Protel|AD|DXP论坛

Allegro论坛

proteus论坛|仿真论坛

EasyEDA-中国人自已的EDA工具

Orcad论坛

-

综合技术与应用

电机控制

智能电网

光电及显示

参考设计中心

汽车电子技术论坛

医疗电子论坛

-

开源硬件

-

无线通信论坛

无线通信技术专区

天线|RF射频|微波|雷达技术

-

IC设计论坛

芯片测试与失效分析

Mixed Signal/SOC[数模混合芯片设计]

Analog/RF IC设计

设计与制造封装测试

-

厂商专区

TI论坛

TI Deyisupport社区

-

检测技术与质量

电磁兼容(EMC)设计与整改

安规知识论坛

检测与认证

-

消费电子论坛

手机技术论坛

平板电脑/mid论坛

音视/视频/机顶盒论坛

-

电子论坛综合区

聚丰众筹官方社区

新人报道区

聚丰供应链

-

论坛服务区

-

供求信息发布

供需广告

招聘┃求职发布区

电子展览展会专区