新的英特尔AMT安全问题让黑客在30秒内完全控制笔记本电脑

对于英特尔来说，这是一个糟糕的新年。



在英特尔急于推出熔毁和幽灵漏洞修补程序之际，安全研究人员在英特尔硬件中发现了一个新的关键安全漏洞，该漏洞可能允许黑客远程访问公司笔记本电脑。

芬兰网络安全公司F-Secure报告称，英特尔主动管理技术（AMT）存在不安全和误导性的默认行为，攻击者可以绕过登录过程，在不到30秒内完全控制用户的设备。

AMT是基于Intel的芯片组附带的一项功能，旨在增强IT管理员和托管服务提供商更好地控制其设备群的能力，使他们能够远程管理和修复组织中的PC、工作站和服务器。

该漏洞允许任何可以物理访问受影响笔记本电脑的人绕过输入登录凭据的需要—；包括用户、BIOS和BitLocker密码以及TPM pin码—；为后期利用启用远程管理。

通常，设置BIOS密码可防止未经授权的用户启动设备或更改启动过程。但事实并非如此。

密码不会阻止未经授权访问AMT BIOS扩展，因此允许攻击者访问以配置AMT，并使远程攻击成为可能。

尽管研究人员在过去发现了一些严重的AMT漏洞，但最近发现的问题尤其令人担忧，因为它是：

• 无需一行代码即可轻松利用，
• 影响大多数英特尔公司的笔记本电脑
• 可能使攻击者能够远程访问受影响的系统，以便日后利用。

F-Secure高级安全研究员哈里·辛托宁（Harry Sintonen）说：“这起攻击几乎看似简单，但具有难以置信的破坏性潜力。”他于去年7月发现了这一问题。

“实际上，它可以让本地攻击者完全控制个人的工作笔记本电脑，即使采取了最广泛的安全措施。”

研究人员称，新发现的漏洞与最近在几乎所有PC、笔记本电脑、智能手机和平板电脑中使用的微芯片中发现的幽灵和熔毁漏洞无关。

以下是如何利用AMT问题

要利用此问题，对受密码（登录和BIOS）保护的计算机进行物理访问的攻击者只需重新启动或为目标PC通电，并在启动过程中按CTRL-P，正如F-Secure的研究人员在上述视频中所展示的那样。

然后，攻击者可以使用默认密码登录英特尔管理引擎BIOS扩展（MEBx）。

在这里，MEBx的默认密码是“admin”，在大多数企业笔记本电脑上很可能保持不变。

一旦登录，攻击者就可以更改默认密码并启用远程访问，甚至可以将AMT的用户选择加入设置为“无”

现在，由于攻击者有效地对机器进行了后门攻击，他/她可以通过连接到与受害者相同的无线或有线网络远程访问系统。

虽然利用这个问题需要物理访问，但辛托宁解释说，执行这个问题的速度和时间使得它很容易被利用，并补充说，即使目标从笔记本电脑上分散注意力一分钟，也足以造成损害。

"攻击者已识别并定位了他们希望利用的目标。他们在公共场所接近目标—；机场、咖啡馆或酒店大堂—；参与一个“邪恶女佣”的场景，辛托宁说。

"本质上，一名攻击者转移了标记的注意力，而另一名攻击者则短暂地进入了他或她的笔记本电脑。攻击不需要很多时间—；整个操作可能需要不到一分钟的时间才能完成。"

与美国CERT协调中心一起，F-Secure已将安全问题通知英特尔和所有相关设备制造商，并敦促他们紧急解决。

同时，建议组织中的用户和IT管理员将其设备的默认AMT密码更改为强密码，或禁用AMT（如果此选项可用），并且不要在公共场所无人看管其笔记本电脑或PC。