januari 12, 2018 |

F-Secure waarschuwt: groot beveiligingslek in miljoenen laptops; Hackers kunnen login gegevens omzeilen via Intel AMT

Onveilige instellingen in Intel AMT maken het mogelijk voor hackers om in vrijwel alle bedrijfslaptops de gebruikerswachtwoorden, BIOS wachtwoorden, TMP en Bitlocker PINcodes te omzeilen.

Nieuwegein – F-Secure heeft een beveiligingslek gevonden in de meeste zakelijke laptops waardoor hackers zichzelf via een backdoor binnen 30 seconden toegang kunnen verschaffen tot de laptop. Door het lek kunnen hackers met fysieke toegang tot de laptop beveiligingsinstellingen zoals gebruikerswachtwoorden, BIOS en Bitlocker wachtwoorden en TPM pincodes omzeilen om vervolgens zichzelf ook op afstand toegang te verschaffen tot de laptop. Het lek bevindt zich in Intels Active Management Technology (AMT), een technologie die wordt gebruikt door naar schatting miljoenen laptops wereldwijd.

“Het lek lijkt bijna te simpel om waar te zijn, maar heeft een vernietigende impact als deze wordt ingezet,” zegt Harry Sintonen. Sintonen onderzocht het lek vanuit zijn functie als Senior Security Consultant bij F-Secure. “In de praktijk kan een hacker hierdoor totale controle over de laptop van een gebruiker krijgen. Ongeacht welke strenge en uitgebreide beveiligingsmaatregelen het bedrijf heeft getroffen.”

Intel AMT is een oplossing voor remote access monitoring en beheer van bedrijfslaptops en -pc’s. Dankzij Intel AMT kunnen IT-afdeling of managed service providers de gebruikte devices in een bedrijf beter beheren. De technologie wordt met name gebruikt in zakelijke laptops en is eerder in verband gebracht met zwakke beveiliging. De eenvoud van het huidige lek maakt deze anders dan andere, eerder gemelde kwetsbaarheden. Het lek kan binnen enkele seconden worden geëxploiteerd, zonder ook maar één regel code te moeten schrijven.

De basis van het huidige lek is dat het instellen van een BIOS-wachtwoord niet de toegang tot AMT BIOS beschermt. Normaal gesproken wordt een BIOS-wachtwoord ingesteld om het voor ongeautoriseerde gebruikers onmogelijk te maken een laptop te rebooten of low-level wijzigingen aan te brengen. Doordat het AMT BIOS ook zonder dit wachtwoord te benaderen is, kunnen hackers zichzelf vrij gemakkelijk toegang verschaffen tot de laptop en hierop wijzigingen aanbrengen zodat zij ook op afstand toegang hebben tot de laptop (en de bedrijfsdata die daarop staat).

Om gebruik te maken van het lek hoeft een hacker slechts éénmaal fysiek de laptop te rebooten of op te starten en tijdens het opstarten CTRL-P in te toetsen. Daarna kan de hacker inloggen in het Intel Management Engine BIOS Extension (MEBx) met gebruik van het default wachtwoord ‘admin’. In de meeste gevallen is dit standaard wachtwoord niet aangepast op bedrijfslaptops. De hacker kan vervolgens het default wachtwoord zelf aanpassen, remote access activeren en de user opt-in van AMT instellen op ‘None’. Nu heeft de hacker op afstand toegang tot het systeem, zowel via draadloze als bekabelde bedrijfsnetwerken. Zo lang als de hacker zich maar in hetzelfde netwerksegment bevindt als de gehackte laptop. Via een CIRA-server kan de hacker zich zelfs toegang verlenen tot de gehackte laptop als hij zich buiten het netwerk bevindt.

Ook al is er fysieke toegang nodig voor de initiële hack, dan is dit snel en relatief gemakkelijk te organiseren, aldus Sintonen. “Stel: je laat jouw laptop in een hotelkamer achter terwijl je even iets gaat drinken in de lobby. De aanvaller verschaft zichzelf toegang tot de hotelkamer en kan binnen een minuut jouw laptop herconfigureren. Nu heeft hij toegang tot jouw computer, zolang je gebruikmaakt van de Wifi van het hotel. Aangezien de laptop aangesloten zit op de VPN van jouw bedrijf, heeft de hacker via jouw computer toegang tot het bedrijfsnetwerk en de bedrijfsgegevens.”

Sintonen waarschuwt dat een minuut afleiding op een luchthaven of in een restaurant al voldoende is om de laptop te compromitteren.

Sintonen ontdekte het lek in juli 2017. Een andere onderzoeker* noemde het lek ook in een recente presentatie. Omdat het lek nu bekend wordt, is het van belang dat organisaties zich bewust zijn van het beveiligingsrisico en maatregelen kunnen treffen voordat het lek actief wordt geëxploiteerd. Een vergelijkbaar lek via USB is recentelijk bekendgemaakt door CERT-Bund.

Het beveiligingsrisico betreft de meeste, al dan niet alle, laptops met Intel Management Engine / Intel AMT. Het is niet gerelateerd tot de recent bekendgemaakte lekken Spectre en Meltdown.

Intel adviseert gebruikers om te voorzien dat het BIOS wachtwoord ook geldt voor Intel AMT. Voor meer informatie over het advies van Intel (december 2017), zie: “Security Best Practices of Intel Active Management Technology Q&A.”

Aanbevelingen

Voor eindgebruikers

  • Laat je laptop nooit onbeheerd achter in een onbeveiligde locatie, zoals een openbare ruimte.
  • Neem contact op met de IT-service desk om de laptop te beoordelen.
  • Ben je zelfstandige en beheer je jouw eigen laptop, verander dan het wachtwoord voor AMT. Zelfs als je niet van plan bent AMT te gebruiken. Als je de mogelijkheid hebt om AMT uit te zetten, doe dat. Is het AMT wachtwoord al gewijzigd in een onbekend wachtwoord, ga er dan vanuit dat de laptop al is gehackt en neem maatregelen.

Voor bedrijven

  • Pas het system provisioning proces aan en maak een uniek AMT wachtwoord een vereiste in dit proces, evenals het uitzetten van AMT indien mogelijk.
  • Controleer alle gebruikte laptops en computers en configureer het AMT wachtwoord. Als het wachtwoord al is gewijzigd in een onbekend wachtwoord, ga er dan vanuit dat de laptop al is gehackt en stel de incident response procedure in werking.

*Parth Shukla, Google, October 2017 “Intel AMT: Using & Abusing the Ghost in the Machine

Meer informatie:

F-Secure Business Security Insider

Sabine Steen-Lakerveld

sr consultant

(033) 303 33 30

sabine@dok30.nl

Actualiteiten
Persarchieven
Jaar selecteren

Latest Press Releases

juni 19, 2018

F-Secure zet een belangrijke stap op weg naar leiderschap in cybersecurity met de overname van MWR InfoSecurity

F-Secure breidt zijn mogelijkheden voor bedreigingsdetectie en incidentrespons uit met een brancheleidend platform voor het opsporen van cyberbedreigingen en breidt de beschikbaarheid van zijn beveiligingsdiensten uit naar de grootste wereldwijde markten.

juni 1, 2018

Zakelijk gebruiker voorzichtiger met openbare Wifi; vertrouwt ten onrechte op eigen beveiliging

Nederlandse mobiele werkers lijken hun lering te hebben getrokken uit de vele waarschuwingen om voorzichtig om te gaan met openbare Wifi-punten, zo blijkt uit een recent veldonderzoek van F-Secure in vier grote ‘business hubs’ in Nederland. Toch is er nog weinig reden om te juichen: de meeste mensen die toch contact maakten met het onbekende, openbare Wifi-punt van F-Secure gebruikten ook nog eens verouderde beveiligingsmaatregelen – of zelfs helemaal niets – waardoor een datalek of hack op de loer ligt.

mei 17, 2018

F-Secure verenigt het beste van mens & machine in nieuwe beveiligingsoplossing

F-Secure Rapid Detection & Response combineert menselijke expertise en artificial intelligence, zodat bedrijven gerichte aanvallen een stap voor kunnen blijven.

mei 2, 2018

Ransomware-rapport van F-Secure: de goudkoorts rond ransomware lijkt voorbij te zijn, maar waakzaamheid is geboden.

Nieuw rapport van F-Secure brengt ontwikkeling ransomware-aanvallen in kaart.