مسأله‌ی امنیتی AMT اینتل و کنترل کامل رایانه‌های رومیزی

کمیته رکن چهارم – برای اینتل یک سال نوی وحشتناک شروع شده است. پژوهشگران درباره‌ی حمله‌ی جدیدی هشدار می‌دهند که می‌تواند در کمتر از ۳۰ ثانیه انجام شود و به طور بالقوه میلیون‌ها رایانه‌ی رومیزی را در سراسر جهان تحت تاثیر قرار دهد.

همان‌طور که اینتل در تلاش است تا وصله‌هایی برای آسیب‌پذیری‌های Meltdown و Spectre منتشر کند، پژوهشگران امنیتی یک نقض امنیتی بحرانی جدیدی در سخت‌افزار اینتل کشف کرده‌اند که به نفوذگران اجازه می‌دهد تا از راه دور به رایانه‌های رومیزی دسترسی پیدا کنند.

شرکت امنیت سایبری F-Secure رفتار پیش‌فرض فریب‌کارانه و غیرقابل اطمینانی را در فن‌آوری مدیریت فعال اینتل (AMT) گزارش کرد که به مهاجم اجازه می‌دهد تا فرآیند ورود را دور بزند و در کمتر از ۳۰ ثانیه کنترل کامل دستگاه یک کاربر را به دست آورد.

فن‌آوری مدیریت فعال (AMT) ویژگی است که با تراشه‌های مبتنی بر اینتل معرفی شده است تا توانایی مدیران فناوری اطلاعات و ارائه‌دهندگان خدمات مدیریت‌شده را افزایش دهد تا دستگاه خود را بهتر کنترل کنند، و به آن‌ها اجازه می‌دهد تا رایانه‌های شخصی و ایستگاه‌های کاری، و کارگزارهای سازمان خود را به صورت از راه دور مدیریت کنند.

این اشکال به هرکسی که دسترسی فیزیکی به رایانه‌ی رومیزی آسیب‌دیده داشته باشد این امکان را می‌دهد که ضرورت وارد کردن گواهی‌نامه‌های ورود که شامل گذرواژه‌های کاربر، بایوس، و BitLocker و کدهای پین TMP هستند را دور بزند و امکان مدیریت از راه دور را برای پس از بهره‌برداری فراهم می‌کند.

به طور کلی، تنظیم کردن یک گذرواژه‌ی بایوس، از راه‌اندازی دستگاه یا تغییر فرآیند راه‌اندازی توسط یک کاربر غیرمجاز جلوگیری می‌کند.

این گذرواژه مانع از دسترسی غیرمجاز به افزونه‌ی بایوس AMT نمی‌شود، در نتیجه به مهاجمان اجازه می‌دهد که به AMT پیکربندی دسترسی پیدا کند و امکان بهره‌برداری از راه دور را فراهم می‌کند.

اگر چه پژوهشگران برخی آسیب‌پذیری‌های شدید AMT را در گذشته کشف کرده‌اند، اما مسأله‌ای که اخیراً کشف شده نگرانی خاصی را به دنبال دارد، زیرا به آسانی و بدون یک خط کد قابل بهره‌برداری است و بیشتر رایانه‌های رومیزی اینتل را تحت تاثیر قرار می‌دهد و می‌تواند امکان دسترسی از راه دور به سامانه‌ی آسیب‌دیده را برای بهره‌برداری بعدی به مهاجمان بدهد.

پژوهشگر امنیتی ارشد F-Secureبه نام سینتنین، که این اشکال را در ماه جولای سال گذشته کشف کرد، گفت: «انجام این حمله به طور فریب‌کارانه‌ای ساده است، اما پتانسیل ویرانگر باورنکردنی دارد. حتی با وجود اقدامات امنیتی بسیار، در عمل می‌تواند کنترل کامل رایانه‌ی رومیزی یک فرد را به یک مهاجم محلی بدهد.»

به گفته‌ی پژوهشگران، اشکالی که به تازگی کشف شده، به آسیب‌پذیری‌های Meltdown و Spectre که اخیراً در تراشه‌های میکروی موجود در تمام رایانه‌های شخصی، رایانه‌های رومیزی و تلفن‌های همراه هوشمند کشف شده، هیچ ارتباطی ندارد.

چگونگی بهره‌برداری از این اشکال AMT

برای بهره‌برداری از این اشکال، تمام کاری که یک مهاجم با دسترسی فیزیکی به یک دستگاه محافظت‌شده با گذرواژه باید انجام دهد، این است که رایانه‌ی شخصی مورد هدف را دوباره راه‌اندازی کند یا روشن کند و هنگام راه‌اندازی کلیدهای ترکیبی Ctrl+p را نگه دارد.

سپس مهاجم می‌تواند با یک گذرواژه‌ی پیش‌فرض وارد افزونه‌ی بایوس موتور مدیریت اینتل (MEBX) شود.

در بیشتر موارد گذرواژه‌ی پیش‌فرض برای MEBX گذرواژه‌ی «admin» است که به احتمال زیاد در بیشتر رایانه‌های رومیزی اینتل بدون تغییر باقی می‌ماند.

مهاجم پس از ورود، می تواند گذرواژه‌ی پیش‌فرض را تغییر دهد و دسترسی از راه دور را فعال کند، و حتی انتخاب کاربر AMT را به مقدار «None» تنظیم کند.

اکنون، به دلیل این‌که مهاجم به طور مؤثر به دستگاه نفوذ کرده است، می‌تواند با اتصال به همان شبکه‌ی بی‌سیم یا باسیمی که قربانی در آن قرار دارد، به صورت از راه دور به سامانه دسترسی پیدا کند.

اگرچه بهره‌برداری از این مسأله به دسترسی فیزیکی نیاز دارد، اما سرعت و زمان انجام آن، می‌تواند آن را به راحتی قابل بهره‌برداری کند، کافی است حتی یک دقیقه رایانه‌ی رومیزی رها شود تا آسیب بزند.

مرکز CERT-Coordination در آمریکا و F-Secure، اینتل و تمام تولیدکنندگان دستگاه‌های مربوط به آن را در مورد مسأله‌ی امنیتی مطلع کرده است و از آن‌ها خواسته تا فوراً این مسأله را برطرف کنند.

به کاربران و مدیران فن‌آوری اطلاعات یک سازمان توصیه می‌شود که گذرواژه‌ی پیش‌فرض AMT دستگاه خود را به یک گذرواژه‌ی قوی‌تر تغییر دهند و یا در صورتی که این گزینه در دسترس باشد، AMT را غیرفعال کنند، و هرگز رایانه‌ی رومیزی یا رایانه‌‌ی شخصی خود را در مکان‌های عمومی رها نکنند.

منبع : news.asis.io