Intel AMT 發現新漏洞,只要 30 秒駭客就可掌控你的電腦

作者 | 發布日期 2018 年 01 月 26 日 13:35 | 分類 晶片 , 資訊安全 , 軟體、系統 follow us in feedly

屋漏偏逢連夜雨,2018 年對 Intel 可說流年不利,面對 CPU 的 Meltdown 和 Spectre 漏洞急於推出解決方案,現在又被資安人員發現 AMT 也有嚴重漏洞,攻擊者不用 30 秒就可以得逞,全球數百萬台商務筆記型電腦都有可能淪陷。



來自芬蘭的網路資訊安全公司 F-Secure 報告,Intel 主動管理技術(Active Management Technology,縮寫 AMT)中有不安全和誤導性的預設行為,允許駭客可在本地端繞過正規登入流程,在 30 秒內完全控制目標筆電,之後就可讓駭客在同一有線、無線網路對目標電腦做進行遠端監控甚至操控,縱使你有 BIOS 或 BitLocker 密碼及 TPM pin 碼保護也防不勝防。

AMT 是商用電腦的 Intel 晶片組功能,讓企業 IT 管理者能妥善管理廣大的設備,方便遠端管理、維修組織內的個人電腦、工作站、伺服器。

雖然過去資安研究人員也曾發現一些嚴重的 AMT 漏洞,但最近發現的漏洞破壞力特別大:

  • 一行程式碼都不用打就可以用。
  • 影響大多數使用 Intel CPU 的筆記型電腦。
  • 可使攻擊者遠端控制受影響的系統以供日後使用。

F-Secure 高級安全研究員 Harry Sintonen 表示,其實他們 2017 年 7 月就發現這個問題,他說:「這個攻擊幾乎看似簡單,但有令人難以置信的破壞潛力。實際上,即使最嚴密的安全措施,也可讓攻擊者在本地端完全控制受害者工作用的筆記型電腦。」

邪惡女僕攻擊

以下是如何利用這個 AMT 漏洞攻擊的方法,目標是一台受密碼保護的電腦(系統登入密碼和 BIOS 密碼):

  1. 為了觸發這個漏洞,攻擊者需要以物理操作方式對目標電腦開機或重開機。
  2. 在開機的啟動程序(booting process)中按 CTRL-P,進入 Intel 管理引擎 BIOS 延伸模組(Intel Management Engine BIOS Extension ,縮寫 MEBx)畫面,正如示範影片的動作。
  3. MEBx 的預設密碼是「admin」,大多數公司筆記型電腦很可能保持不變。
  4. 登錄後,攻擊者可更改預設密碼,並啟用遠程遙控。
  5. 關閉 AMT「User opt-in」。

這樣一來,受害者在電腦的任何操作,就永遠翻不出攻擊者的手掌心了。

這話怎麼說呢?因為在步驟四裡,AMT 密碼修改以後,使用者日後將永遠無法再掌控這台筆電 AMT 的行為,而且不可逆;步驟五的 User opt-in 是筆電使用者的一次性密碼,本來的設計是 IT 管理人員要啟動遠端遙控時,需要取得電腦使用者的同意──使用者需要用電話傳達這個一次性密碼,管理人員才能開通遠端遙控。

然而現在這個功能可被關掉(緣由是方便企業 IT 管理人員遠端維護),受害者將毫不知情被遠端監控,這也不是你重灌系統可解決,因為漏洞在比作業系統更底層的主機板晶片裡。

雖然如此,這不過就是另一個本地端漏洞嘛,又不是大家關注的網路資安漏洞,然而 Sintonen 進一步說明這個漏洞的危害嚴重度:「攻擊者辨識、確認好要攻擊的目標後,他們就可在機場、咖啡館、飯店大廳等公開場所進行『邪惡女僕』式攻擊。」

什麼是「邪惡女僕」(evil maid’ scenario)攻擊呢? 基本上,就是諜報電影常出現的橋段──比如當目標人物下榻特定旅館時,情報員賄賂飯店的女服務生,趁目標人物離開飯店時進入房間,翻找對方的行李甚至破解對方的鎖來找到高價值的情報,然後趕在對方回來前恢復表面原狀,而目標人物渾然不知機密已外洩,抑或破壞就在眼皮底下發生。所謂的「邪惡女僕」,就是靠你不會起疑心的人來做案。

電影《慕尼黑》就上演過這種橋段,以色列情報員喬裝成不起眼的電信局人員,滲透進目標人物、一位阿拉伯學者家中幫忙「更換電話」,而被置換的電話裡藏有遙控炸彈,得以暗殺對方。

▲ 電影《慕尼黑》畫面。

讀者若對詳細劇情有興趣就請自行參考電影。當年以色列情報員可是辛苦喬裝私闖民宅,然後還要大費周章一番才達成任務,整個過程風險極大,需要的人數也很多,然而現在 AMT 漏洞可就讓「辦事」輕鬆多了。

在公開場所,只需要兩名攻擊者就可以得逞:由一名攻擊者分散受害者的注意力,把對方帶離開電腦,另一名攻擊者只要短暫接觸受害者的筆記型電腦,不用超過 1 分鐘就可以開通 AMT 遠端遙控,此後你的電腦再也不是你的電腦,而是壞人監控你的利器,甚至是攻擊你公司 IT 設備網路的起點。

F-Secure 已透過美國電腦網路危機處理中心 CERT ,通知 Intel 和所有相關設備製造商這個安全問題,並迫切要求他們緊急處理。同時,F-Secure 也呼籲任何企業團體或組織使用者和 IT 管理員,應該把電腦 AMT 預設密碼更改為強密碼,或乾脆禁用 AMT,且不要讓自己的筆記型電腦或桌上電腦處於無人看管的情況。

當然如果你曾有如此印象:「只不過離開電腦一下,回來時電腦畫面跟離開前有點不一樣(可能被重開機了)」,那你應該要檢查一下 BIOS AMT 相關設定,也許你本來根本不知道自己電腦有 AMT 功能,也根本沒使用過,然而前述 AMT 預設密碼輸入卻無效,無法調整設定,那麼你該心裡有數快做必要處置了。

(首圖來源:影片截圖)

延伸閱讀: