Đó là một khởi đầu năm mới tồi tệ đối với Intel.
Các nhà nghiên cứu cảnh báo về một cuộc tấn công mới có thể được thực hiện trong vòng chưa đầy 30 giây và có khả năng ảnh hưởng đến hàng triệu máy tính xách tay trên toàn cầu.
Khi Intel đang gấp rút tung ra các bản vá lỗ hổng Meltdown và Spectre, các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng mới trong phần cứng của Intel có thể cho phép tin tặc truy cập máy tính xách tay của công ty từ xa.
Công ty an ninh mạng F-Secure của Phần Lan đã báo cáo hành vi mặc định không an toàn và gây hiểu lầm trong Công nghệ quản lý hoạt động của Intel (AMT) có thể cho phép kẻ tấn công bỏ qua quy trình đăng nhập và kiểm soát hoàn toàn thiết bị của người dùng trong vòng chưa đầy 30 giây.
AMT là một tính năng đi kèm với chipset dựa trên Intel nhằm nâng cao khả năng của quản trị viên CNTT và nhà cung cấp dịch vụ được quản lý nhằm kiểm soát tốt hơn nhóm thiết bị của họ, cho phép họ quản lý và sửa chữa PC, máy trạm và máy chủ từ xa trong tổ chức của mình.
Lỗi này cho phép bất kỳ ai có quyền truy cập vật lý vào máy tính xách tay bị ảnh hưởng đều bỏ qua yêu cầu nhập thông tin đăng nhập — bao gồm mật khẩu người dùng, BIOS và BitLocker cũng như mã pin TPM — cho phép quản trị từ xa để xử lý sau khai thác.
Nói chung, đặt mật khẩu BIOS ngăn người dùng trái phép khởi động thiết bị hoặc thực hiện các thay đổi đối với quy trình khởi động. Nhưng đây không phải là trường hợp ở đây.
Mật khẩu không ngăn chặn truy cập trái phép vào phần mở rộng AMT BIOS, do đó cho phép kẻ tấn công truy cập để định cấu hình AMT và có thể khai thác từ xa.
Mặc dù trước đây các nhà nghiên cứu đã phát hiện ra một số lỗ hổng AMT nghiêm trọng, nhưng vấn đề được phát hiện gần đây là mối quan tâm đặc biệt vì đó là:
- dễ khai thác mà không cần một dòng mã nào,
- ảnh hưởng đến hầu hết các máy tính xách tay của công ty Intel và
- có thể cho phép kẻ tấn công có quyền truy cập từ xa vào hệ thống bị ảnh hưởng để khai thác sau này.
Nhà nghiên cứu bảo mật cấp cao của F-Secure, Harry Sintonen, người đã phát hiện ra vấn đề này vào tháng 7 năm ngoái cho biết: “Cuộc tấn công gần như đơn giản để thực hiện, nhưng nó có khả năng phá hoại đáng kinh ngạc”.
“Trong thực tế, nó có thể cho phép kẻ tấn công cục bộ kiểm soát hoàn toàn máy tính xách tay làm việc của một cá nhân, bất chấp các biện pháp bảo mật rộng rãi nhất.”
Theo các nhà nghiên cứu, lỗi mới được phát hiện không liên quan gì đến các lỗ hổng Spectre và Meltdown được tìm thấy gần đây trong các vi mạch được sử dụng trong hầu hết các PC, máy tính xách tay, điện thoại thông minh và máy tính bảng ngày nay.
Đây là cách khai thác sự cố AMT này
Để khai thác vấn đề này, tất cả những gì kẻ tấn công có quyền truy cập vật lý vào máy được bảo vệ bằng mật khẩu (đăng nhập và BIOS) cần làm là khởi động lại hoặc bật nguồn PC được nhắm mục tiêu và nhấn CTRL-P trong khi khởi động, như các nhà nghiên cứu tại F- đã trình bày. Bảo mật trong video trên.
Sau đó, kẻ tấn công có thể đăng nhập vào Phần mở rộng BIOS của Công cụ quản lý Intel (MEBx) bằng mật khẩu mặc định.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Ở đây, mật khẩu mặc định cho MEBx là “admin”, rất có thể không thay đổi trên hầu hết các máy tính xách tay của công ty.
Sau khi đăng nhập, kẻ tấn công có thể thay đổi mật khẩu mặc định và cho phép truy cập từ xa, thậm chí đặt quyền chọn tham gia của người dùng AMT thành “Không”.
Giờ đây, vì kẻ tấn công đã mở cửa sau máy một cách hiệu quả nên kẻ tấn công có thể truy cập hệ thống từ xa bằng cách kết nối với cùng một mạng không dây hoặc có dây với nạn nhân.
Mặc dù việc khai thác vấn đề yêu cầu quyền truy cập vật lý, Sintonen giải thích rằng tốc độ và thời gian mà nó có thể được thực hiện khiến nó có thể dễ dàng bị khai thác, đồng thời thêm rằng chỉ một phút khiến mục tiêu mất tập trung khỏi máy tính xách tay của nó cũng đủ để gây ra thiệt hại.
“Những kẻ tấn công đã xác định và định vị mục tiêu mà chúng muốn khai thác. Họ tiếp cận mục tiêu ở nơi công cộng—sân bay, quán cà phê hoặc sảnh khách sạn—và tham gia vào một kịch bản ‘cô hầu gái độc ác’,” Sintonen nói.
“Về cơ bản, một kẻ tấn công đánh lạc hướng mục tiêu, trong khi kẻ kia giành được quyền truy cập vào máy tính xách tay của mình trong thời gian ngắn. Cuộc tấn công không cần nhiều thời gian—toàn bộ hoạt động có thể mất chưa đầy một phút để hoàn thành.“
Cùng với Trung tâm điều phối CERT tại Hoa Kỳ, F-Secure đã thông báo cho Intel và tất cả các nhà sản xuất thiết bị có liên quan về vấn đề bảo mật và kêu gọi họ khẩn trương giải quyết vấn đề này.
Đồng thời, người dùng và quản trị viên CNTT trong một tổ chức nên thay đổi mật khẩu AMT mặc định trên thiết bị của họ thành mật khẩu mạnh hoặc tắt AMT nếu tùy chọn này khả dụng và không bao giờ để máy tính xách tay hoặc PC của họ ở nơi công cộng mà không có người giám sát.
