tammikuu 12, 2018 |

Intel-tietoturvapuute sallii hyökkääjän ohittaa sisäänkirjautumistunnukset miljoonissa yrityskannettavissa

Tietoturvapuute Intel AMT-hallintajärjestelmässä sallii hyökkääjän ohittaa BIOS-salasanan, TMP Pinin, Bitlockerin ja sisäänkirjautumistunnukset ja päästää käyttämään lähes mitä tahansa kannettavaa yritystietokonetta sekunneissa. F-Secure on löytänyt tietoturvapuutteen, joka vaikuttaa suurimpaan osaan yrityskannettavista. Tietoturvapuute sallii hyökkääjän, jolla on fyysinen pääsy laitteeseen, asentaa siihen takaportin alle 30:ssa sekunnissa. Se ohittaa sisäänkirjautumisen sekä BIOS- ja Bitlocker-salasanat ja antaa mahdollisuuden käyttää […]

Tietoturvapuute Intel AMT-hallintajärjestelmässä sallii hyökkääjän ohittaa BIOS-salasanan, TMP Pinin, Bitlockerin ja sisäänkirjautumistunnukset ja päästää käyttämään lähes mitä tahansa kannettavaa yritystietokonetta sekunneissa.

F-Secure on löytänyt tietoturvapuutteen, joka vaikuttaa suurimpaan osaan yrityskannettavista. Tietoturvapuute sallii hyökkääjän, jolla on fyysinen pääsy laitteeseen, asentaa siihen takaportin alle 30:ssa sekunnissa. Se ohittaa sisäänkirjautumisen sekä BIOS- ja Bitlocker-salasanat ja antaa mahdollisuuden käyttää laitetta myöhemmin etäyhteydellä. Haavoittuvuus löytyy Intel Active Management Technology -hallintajärjestelmästä (AMT) ja se voi vaikuttaa miljooniin kannettaviin tietokoneisiin maailmanlaajuisesti.

“Haavoittuvuus on lähes petollisen helppokäyttöinen, mutta sen tuhopotentiaali on valtava”, sanoo seniorikonsultti Harry Sintonen F-Securelta, joka löysi haavoittuvuuden. “Käytännössä se voi antaa hyökkääjälle täyden hallinnan henkilön kannettavaan työkoneeseen laajoistakin tietoturvatoimista huolimatta.”

Intel AMT auttaa tietohallintoa ja palvelujentarjoajia laitekannan keskitettyyn hallintaan. Yleisesti yritysten kannettavissa tietokoneissa käytettävän teknologian tietoturvapuutteet ovat olleet aiemminkin julkisuudessa. Nyt löydetty uhka on merkittävästi aiempia tapauksia yksinkertaisempi. Tietoturvapuutetta voi hyödyntää sekunneissa ilman koodausta.

Olennaisin seikka tietpturvapuutteessa on se, että BIOS-salasanan asettaminen, joka normaalisti estää luvatonta käyttäjää tekemästä muutoksia laitteen BIOS-asetuksiin, ei kuitenkaan estä AMT-hallintajärjestelmän BIOS-laajennuksen käyttöä. Tämä sallii hyökkääjän ottaa Intel AMT käyttöön ja mahdollistaa täten kohdejärjestelmän luvattoman etäkäytön.

Tietoturvapuutteen hyödyntämistä varten hyökkääjän täytyy vain käynnistää kohdekone tai käynnistää se uudelleen ja painaa CTRL-P käynnistyksen aikana. Hyökkääjä voi sen jälkeen kirjautua Intel Management Engine BIOS (MEBx) -laajennukseen käyttämällä oletusarvoista salasanaa ”admin”, koska se on todennäköisimmin jäänyt muuttamatta suurimmassa osassa kannettavia yrityskoneita. Hyökkääjä voi tämän jälkeen vaihtaa oletussalasanan ja poistaa etäkäyttöluvan kysymisen. Hyökkääjä pääsee nyt laitteelle etäyhteyden kautta, jos hän on samassa verkon osassa uhrin kanssa. Yhteys laitteeseen voi olla mahdollinen myös verkon ulkopuolelta hyökkääjän operoiman CIRA-palvelimen avulla.

Vaikka alkuperäinen hyökkäys vaatiikin fyysisen pääsyn koneelle, Sintosen mukaan nopeus, jolla se on mahdollista toteuttaa, tekee siitä helposti hyödynnettävän.

”Jätät kannettavan tietokoneesi hotellihuoneeseesi, kun lähdet ulos drinkille. Hyökkääjä murtautuu huoneeseesi ja konfiguroi sylimikrosi alle minuutissa ja voi sen jälkeen olla yhteydessä pöytäkoneeseesi, kun käytät kannettavaa tietokonettasi hotellin lähiverkossa. Ja koska hyökkääjä käyttää yrityksesi VPN-yhteyttä, hyökkääjällä on myös yhteys yrityksen tietovarantoihin.”

Sintonen korostaa, että minuuttikin on riittävä aika tuhon aikaansaamiseksi, jos huomio kiinnittyy muualle kuin kannettavaan vaikkapa lentokentällä tai kahvilassa.

Sintonen löysi ongelman heinäkuussa 2017, ja huomioi, että myös toinen tutkija* on maininnut siitä hiljan puheessaan. Tämän takia on erityisen tärkeää, että organisaatiot tietävät haavoittuvuudesta, jotta ne voivat korjata sen ennen kuin sitä hyödynnetään. Vastaavanlainen haavoittuvuus on löydetty aiemmin CERT-Bundin toimesta, mutta USB Provisioning -yhteyksiin liittyen, Sintonen sanoo. Haavoittuvuus koskee suurinta osaa, mahdollisesti kaikkia kannettavia tietokoneita, jotka käyttävät Intel Management Enginea / Intel AMT:ta.

Intel suosittelee laitetoimittajia vaatimaan BIOS-salasanatunnistusta suojaamaan Intel AMT-hallintajärjestelmää. Intelin joulukuun 2017 ohjeistus asiaan liittyen löytyy täältä “Security Best Practices of Intel Active Management Technology Q&A.”

 

Suositukset

Loppukäyttäjille

  • Älä koskaan jätä kannettavaa tietokonettasi julkiselle paikalle ilman valvontaa.
  • Ole yhteydessä yrityksesi IT-osastoon, jotta laitteesi suojataan asianmukaisesti.
  • Jos olet oman sylimikrosi järjestelmäpääkäyttäjä, vaihda AMT-salasanasi vahvaksi, vaikka et edes aio käyttää AMT-hallintajärjestelmää. Jos voit ottaa AMT:n pois käytöstä, tee niin. Mikäli salasana on jo vaihdettu tuntemattomaksi, on syytä epäillä murtoa tietokoneelle.

Yrityksille

  • Aseta järjestelmän provisiointiprosessiin vahva AMT-salasanan asettaminen ja AMT:n poistaminen käytöstä, jos vahvaa salasanaa ei voi käyttää.
  • Käy läpi kaikki käytössä olevat laitteet ja konfiguroi AMT-salasana. Mikäli salasana on jo vaihdettu tuntemattomaksi, epäile murtoa kyseiselle tietokoneelle ja käynnistä suojaustoimenpiteet.

 

*Parth Shukla, Google, October 2017 “Intel AMT: Using & Abusing the Ghost in the Machine

 

 

Lisätietoa

A Security Issue in Intel’s Active Management Technology

 

F-Secure lyhyesti

F-Secure on johtava kyberturvallisuusyhtiö, joka on kolmen vuosikymmenen ajan edistänyt kyberturvallisuuden innovaatioita. F-Securella on ensiluokkainen kokemus päätelaitteiden suojaamisesta sekä hyökkäysten tunnistamisesta ja niihin vastaamisesta. F-Secure suojaa ratkaisuillaan yrityksiä ja kuluttajia niin kehittyneiltä kyberhyökkäyksiltä ja tietomurroilta kuin laajalle levinneiltä kiristysohjelmien tartunnoilta. F-Securen turvallisuusasiantuntijat ovat osallistuneet useampaan eurooppalaiseen kyberrikoksen tutkintaan kuin yhdenkään muun markkinoilla toimivan yrityksen. F-Securen tuotteita myyvät maailmanlaajuisesti yli 200 operaattoria ja tuhannet jälleenmyyjät.

Vuonna 1988 perustettu F-Secure on listattu NASDAQ OMX Helsinki Ltd:ssä.

f-secure.com twitter.com/fsecure | facebook.com/f-secure

 

Mediayhteydenotot:

Simo Ristolainen

+358 50 405 3776

Uusimmat tapahtumat
Lehdistöarkistot
Valitse vuosi

Uusimmat lehdistötiedotteet

huhtikuu 6, 2018

Tänä vuonna kuluttajat voivat murskata kiristysohjelmat

F-Securen SAFE -ohjelmiston uudet ominaisuudet kiristysohjelmien torjumiseen julkistetaan juuri, kun kuluttajat saavat mahdollisuuden tuhota miljarditappiot aiheuttaneen uhan. Kuluttajilla on viimein mahdollisuus päästä miljardeja dollareita ryövänneiden kiristysohjelmarikollisjengien niskan päälle. F-Securen SAFE -ohjelmisto PC–tietokoneille on suojannut käyttäjiä kiristysohjelmilta tehokkaasti DeepGuard-teknologialla. Nyt teknologiaa on parannettu entisestään, jotta se voi auttaa ihmisiä murskaamaan kiristysohjelmien uhan. Kiristysohjelmat ovat ottaneet jo […]

maaliskuu 19, 2018

F-Securen uusi kumppanivetoinen palvelu auttaa pysäyttämään kyberhyökkäykset globaalisti

F-Securen kanavakumppaneilla on nyt merkittäviä uusia palvelumahdollisuuksia suojata asiakkaitaan kohdistetuilta ja tiedostottomilta hyökkäyksiltä huippuluokan automatisoidulla päätelaitteiden hälytysjärjestelmällä. Helsinki, 19.3.2018 – Joka puolilla maailmaa yrityksiin kohdistuu kohdistettuja ja tiedostottomia hyökkäyksiä ( fileless attacks). Näihin uhkiin vastaamiseksi tarvitaan uudenlaisia palveluja. Kyberturva-asiantuntija F-Secure vastaa tarpeeseen uudella täysin automatisoidulla päätelaitteiden hälytysjärjestelmällä (EDR), jota yhtiö tarjoaa palveluna kasvavan kanavakumppaniverkostonsa kautta. […]

maaliskuu 16, 2018

F-Securen ilmailun kyberturvapalvelut lähtivät lentoon

F-Securen palvelu yhdistää ilmailun ja kyberturvallisuuden asiantuntemuksen suojatakseen lentoyhtiöiden tärkeintä omaisuutta. Helsinki, 16.3.2018: Ilmailualalla luottamus on kaikki kaikessa. Pienikin kyberhyökkäys esimerkiksi lentokoneen matkustamon viihdejärjestelmässä saattaa heikentää lentoyhtiön tai jopa koko ilmailualan luotettavuutta. Siksi kyberturvallisuusyhtiö F-Secure on lanseerannut Aviation Cyber Security Services -tuotteen, joka on suunniteltu auttamaan lentoyhtiöitä ja muita ilmailualan organisaatioita suojelemaan lentokoneita, infrastruktuuria, dataa […]

helmikuu 22, 2018

Poikkeavien tapahtumien tunnistaminen ja sähköpostihyökkäykset aiheuttavat yhä päänsärkyä yrityksille

Sähköposti on heikoin lenkki yritysten turvallisuusjärjestelmässä F-Securen uuden Incident Response -raportin mukaan. Yritysten on vaikeaa havaita turvallisuuteen liittyviä poikkeamia nopeasti ja tarkasti.   Helsinki, 22.2.2018: Yli kolmasosa kaikista tietoturvaan liittyvistä poikkeavista tapahtumista alkaa sähköpostissa tulevalla tietojenkalastelulla tai liitteisiin piilotetulla haittaohjelmalla. F-Secure kertoo yritysten uhkanäkymästä tänään julkaisemassaan uudessa Incident Response -raportissa. Se kokoaa havaintoja F-Securen tutkimista […]

%d bloggers like this: