Les chercheurs ont trouvé une faille dans les processeurs Intel qui permet à un attaquant de contourner les connexions et de placer des portes dérobées sur les ordinateurs portables, permettant aux adversaires d'accéder à distance aux ordinateurs portables. Les chercheurs de F-Secure, qui ont d'abord identifié la stratégie d'attaque, affirment que la faille peut être exploitée en moins d'une minute.
La technique nécessite que les attaquants aient un accès physique aux ordinateurs et suppose également que la cible n'a pas configuré son système pour protéger le compte Intel Management Engine BIOS Extension (MEBx) sur les PC prenant en charge la technologie de gestion active (AMT) d'Intel.
AMT est la fonctionnalité de maintenance à distance d'Intel utilisée sur les processeurs Intel vPro et Xeon. MEBx est une extension du BIOS utilisée pour configurer manuellement le service AMT. Lorsqu'il est configuré correctement, MEBx est protégé par un mot de passe.
Les chercheurs de F-Secure, qui ont présenté leurs recherches dans un article de blog vendredi, ont déclaré que les utilisateurs ne changent généralement pas le mot de passe MEBx du mot de passe par défaut "admin".
"Le problème permet à un intrus local d'accéder à presque n'importe quel ordinateur portable d'entreprise en quelques secondes, même si le mot de passe BIOS, le code PIN TPM, Bitlocker et les identifiants de connexion sont en place", a écrit F-Secure.
L'attaque commence par un redémarrage de l'ordinateur portable de la cible dans le menu de démarrage du PC. En règle générale, un adversaire ne serait pas en mesure de contourner un mot de passe BIOS, arrêtant l'attaque dans son élan, ont déclaré les chercheurs.
"Dans ce cas, cependant, l'attaquant a une solution de contournement : AMT. En sélectionnant l'extension du BIOS du moteur de gestion d'Intel (MEBx), ils peuvent se connecter à l'aide du mot de passe par défaut "admin", car celui-ci n'a probablement pas été modifié par l'utilisateur. En changeant le mot de passe par défaut, en activant l'accès à distance et en définissant l'opt-in de l'utilisateur d'AMT sur "Aucun", un cybercriminel au doigté rapide a effectivement compromis la machine », a écrit F-Secure.
Cela permet à l'attaquant de configurer l'ordinateur portable ciblé pour un accès à distance ultérieurement. La seule mise en garde, pour que l'attaquant puisse accéder à distance à l'ordinateur portable, il doit être capable de "s'insérer sur le même segment de réseau avec la victime", selon la recherche. "L'activation de l'accès sans fil nécessite quelques étapes supplémentaires", ont-ils déclaré.
Les chercheurs reconnaissent que la proximité physique nécessaire à l'attaque limite sa menace potentielle. Cependant, le chercheur de F-Secure, Harry Sintonen, a déclaré qu'il existe des scénarios dans lesquels un mélange d'ingénierie sociale combiné au peu de temps nécessaire pour effectuer le piratage peut rendre certains vulnérables.
"Essentiellement, un attaquant détourne l'attention de la marque, tandis que l'autre accède brièvement à son ordinateur portable. L'attaque ne nécessite pas beaucoup de temps - l'ensemble de l'opération peut prendre bien moins d'une minute », a déclaré Sintonen.
Intel a répondu aux recherches de F-Secure en déclarant publiquement qu'il ne peut pas l'aider si "certains fabricants de systèmes n'ont pas configuré leurs systèmes pour protéger Intel Management Engine BIOS Extension (MEBx)".
Justin Jett, directeur de l'audit et de la conformité pour Plixer, une société d'analyse du trafic réseau, a déclaré que les attaques utilisant cette méthode pourraient être efficaces.
"Le problème de sécurité d'Intel AMT est tout à fait faisable. Les employés malhonnêtes qui ont accès à de nombreux ordinateurs dans une entreprise et qui partagent le même espace réseau que leurs collègues pourraient profiter de cette vulnérabilité », a déclaré Jett.
Il a déclaré que la faille pourrait être fermée avec une mise à jour du micrologiciel du BIOS pour éviter de contourner les protocoles BIOS normaux. "En attendant, l'objectif principal des organisations devrait être de mettre à jour les systèmes afin qu'ils n'utilisent pas le mot de passe par défaut, et d'examiner les données d'analyse du trafic réseau pour les connexions via les ports Intel AMT."
F-Secure recommande de suivre les meilleures pratiques d'Intel pour la fonctionnalité AMT (PDF) ou de la désactiver complètement.
Les inquiétudes concernant le moteur de gestion Intel durent depuis des années. En mai, Intel a corrigé une vulnérabilité critique qui remontait à neuf ans dans la technologie de gestion active de la société, basée sur Intel ME. Cette vulnérabilité pourrait permettre à un attaquant d'accéder à distance aux services AMT tels que le clavier, la vidéo et la souris (KVM), la redirection IDE, la série sur LAN et la configuration et l'édition du BIOS.
En novembre, Intel a publié des correctifs pour protéger des millions de PC et de serveurs contre les vulnérabilités trouvées dans son moteur de gestion qui pourraient permettre à des attaquants locaux d'élever les privilèges, d'exécuter du code arbitraire, de bloquer les systèmes et d'écouter les communications. En août, Positive Technologies a publié un rapport sur la façon dont le gouvernement américain peut désactiver l'EM et le public ne peut pas.
Les soupçons remontent à 2012 concernant la mise en œuvre d'AMT par Intel, certains la qualifiant de "porte dérobée activée par défaut". Une faille signalée identifiée en juin 2016 par le chercheur Damien Zammit a affirmé qu'il y avait une faille de sécurité exploitable à distance dans le moteur de gestion Intel qui a créé une porte dérobée secrète permettant à un tiers d'utiliser des rootkits indétectables contre les PC Intel. Intel a nié ces allégations.
Partagez cet article :