sábado, 13 de enero de 2018

Credenciales por defecto en Intel AMT permiten obtener control total del equipo

Llevamos solo dos semanas, pero a Intel ya se le está haciendo largo 2018. Mientras aún resuenan los ecos de Meltdown y Spectre, que creemos tardarán bastante en extinguirse, se descubre una nueva vulnerabilidad que afecta, esta vez en exclusiva, a sus productos.



En este caso se trata de un fallo en la tecnología 'Active Management Technology' (AMT), presente en equipos portátiles de gama corporativa. AMT es un acceso de administración remoto utilizado para administrar, mantener e inventariar el parqué de equipos de gama empresarial. Está presente en sistemas Intel vPro y en algunas estaciones de trabajo con procesadores de la familia Xeon.

Descubierto por la empresa finlandesa F-Secure en julio de 2017, el fallo se encuentra en una provisión incorrecta de fabrica de las credenciales de administración, y permite no solo el acceso administrativo al propio AMT, sino evitar además toda medida de seguridad adicional implementadas en el equipo (contraseñas de BIOS, sistema operativo, cifrado de disco), obteniendo acceso privilegiado al sistema de forma remota.

Al iniciar estos equipos de forma local, es posible acceder a la extensión para la BIOS de AMT antes de que cualquier credencial sea requerida (incluida la contraseña de BIOS). Una vez el sistema lo requiera, un usuario malintencionado puede acceder simplemente introduciendo la contraseña por defecto: admin.




A partir de aquí, se puede configurar el acceso remoto a través de AMT, desactivar el consentimiento del usuario y empezar a gestionar el sistema a través de VNC . Aunque por defecto está limitado a accesos desde la misma red cableada, se puede configurar la opción de hacerlo a través de la misma red Wi-Fi o incluso dirigir al usuario hacia un servidor externo controlado por el atacante, usando para ello 'Client Initiated Remote Access'CIRA.

A través de este acceso privilegiado, el atacante podrá leer y escribir cualquier fichero al que el usuario tenga acceso, además de ejecutar cualquier programa en su equipo.

Según F-Secure, este fallo no es una vulnerabilidad, si no un problema de configuración. Por ello, instan a seguir las buenas prácticas definidas por Intel para evitarlo. Guía que, por otro lado, parece no estar teniendo impacto real, ya que según su experiencia los equipos con AMT no están siendo configurados para garantizar la seguridad.

No es la primera vez que Intel se encuentra con problemas en AMT. El pasado mayo se publicó una vulnerabilidad que permitía a un atacante obtener privilegios del sistema a través de un fallo en el manejo de la autenticación a través de HTTP Digest.

Recordemos que, a pesar de que no se trata de una vulnerabilidad de software, las credenciales por defecto siguen siendo un grave fallo de seguridad (forman parte del OWASP Top-10 como "Security Misconfiguration"). En este caso, el problema obtiene aún más visibilidad debido a la delicada situación de Intel en las últimas semanas.



Francisco López
flopez@hispasec.com
Más información:

A Security Issue in Intel’s Active Management Technology (AMT):
https://youtu.be/aSYlzgVacmw


Explained — How Intel AMT Vulnerability Allows to Hack Computers Remotely: