آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

معضل امنیتی جدید Intel AMT، به هکرها این امکان را می‌دهد تا کنترل کامل لپ‌تاپ قربانی را به دست گیرند

عنوانمعضل امنیتی جدید Intel AMT، به هکرها این امکان را می‌دهد تا کنترل کامل لپ‌تاپ قربانی را به دست گیرند
گروه اصلیIDS
شرح خبر

این یک شروع سال نو بسیار بد برای اینتل می‌باشد. محققان درباره حمله جدیدی هشدار دادند که می‌تواند در کمتر از 30 ثانیه انجام شود و به‌طور بالقوه میلیون‌ها لپ‌تاپ در سراسر جهان را تحت تأثیر قرار دهد.

 

هنگامی که اینتل در تلاش بود، تا در اسرع وقت، وصله‌ای برای آسیب‌پذیری‌های Meltdown و Spectre ارائه دهد، محققان امنیت، یک شکاف امنیتی بحرانی در سخت‌افزار اینتل شناسایی کردند، که به هکرها این امکان را می‌دهد، تا از راه دور به لپ‌تاپ‌های شرکتی دسترسی داشته باشند.

یک شرکت امنیت سایبری در فنلاند، با نام F-Secure، یک رفتار پیش‌فرض ناامن و اشتباه در تکنولوژی مدیریت فعال اینتل (AMT) گزارش کرد، که به مهاجم این امکان را می‌دهد تا فرآیند ورود به سیستم را دور زده و کنترل کامل دستگاه کاربر را، در کمتر از 30 ثانیه بر عهده بگیرد.

AMT قابلیتی است که به‌همراه ریزتراشه‌های مبتنی بر اینتل ارائه شد، تا توانایی مدیران فناوری اطلاعات و فراهم‌آورندگان خدمات مدیریتی را بهبود بخشد، به‌گونه‌ای که بتوانند دستگاه‌های خود را بهتر کنترل کنند و این امکان را داشته باشند تا کامپیوترهای شخصی، ایستگاه‌های کاری، و سرویس‌دهنده‌های موجود در سازمان‌شان را از راه دور تعمیر و مدیریت کنند.

این باگ، به هر شخصی که به دستگاه آلوده دسترسی فیزیکی داشته باشد، این امکان را می‌دهد تا نیاز به اعتبارات برای ورود به سیستم را دور بزند – شامل کلمات عبور کاربر، BIOS، BitLocker و پین‌کدهای TPM – و امکان مدیریت از راه دور را برای سوءاستفاده‎‌های بعدی فراهم آورد.

به‌طور کلی، تنظیم کلمه عبور برای BIOS، از راه‌اندازی دستگاه یا اعمال تغییر در فرآیند راه‌اندازی آن توسط یک کاربر غیرمجاز، جلوگیری می‌کند. اما این مسأله در این‌جا صدق نمی‌کند.

کلمه عبور از دسترسی غیر مجاز به توسعه AMT BIOS جلوگیری نمی‌کند، بنابراین به مهاجمین امکان دسترسی به پیکربندی AMT و سوءاستفاده راه دور را می‌دهد.

اگرچه محققان در گذشته نیز تعدادی آسیب‌پذیری AMT جدی شناسایی کرده بودند، این معضل که اخیراً شناسایی‌شده، بسیار نگران‌کننده است، چرا که دارای قابلیت‌های زیر است:

·         سوءاستفاده آسان بدون نیاز به حتی یک خط کد

·         تحت تأثیر قرار دادن اکثر لپ‌تاپ‌های شرکتی اینتل

·         دادن امکان دسترسی راه دور به مهاجمان، برای سوءاستفاده احتمالی در آینده

به گفته Harry Sintonen، محقق ارشد امنیتی در F-Secure، که این معضل را در ماه جولای سال گذشته شناسایی کرد، «حمله به‌طرز عجیبی ساده به نظر می‌رسد، اما پتانسیلِ تخریبِ آن، باورنکردنی است.»

«در عمل، این حمله، علی‌رغم اقدامات امنیتی بسیار وسیع، به مهاجم محلی، امکان کنترل کامل لپ‌تاپ فرد را می‌دهد.»

به گفته محققان، باگی که اخیرا شناسایی شده، هیچ گونه ارتباطی با آسیب‌پذیری‌های Spectre و Meltdown، که اخیراً در ریزتراشه‌های استفاده‌شده در اکثر کامپیوترهای شخصی، لپ‌تاپ‌ها، تلفن‌های هوشمند و تبلت‌ها پیدا شده، ندارد.

چگونگی سوءاستفاده از این معضل AMT

برای سوءاستفاده از این معضل، تمام کاری که یک مهاجم، که به یک ماشین محافظت‌شده توسط کلمه عبور (ورود و BIOS) دسترسی فیزیکی دارد، نیاز است انجام دهد، این است که کامپیوتر هدف را مجدداً راه‌اندازی کرده یا روشن کند، و حین فرآیند راه‌اندازی، دکمه‌های CTRL+P را فشار دهد. سپس مهاجم می‌تواند با استفاده از یک کلمه عبور پیش‌فرض، به توسعه BIOS موتور مدیریت اینتل (MEBx) وارد شود.

در این‌جا، کلمه عبور پیش‌فرض برای MEBx، "admin" می‌باشد، که اغلب بر روی اکثر کامپیوترهای شرکتی بدون تغییر باقی می‌ماند.

به محض ورود به سیستم، مهاجم می‌تواند کلمه عبور پیش‌فرض را تغییر دهد و امکان دسترسی راه دور را فعال کند، و حتی قسمت انتخاب کاربر AMT را به "None" تغییر دهد.

اکنون، از آن‌جا‌یی‌که مهاجم به‌صورت مخفیانه به ماشین وارد شده است، می‌تواند با اتصال به شبکه بی‌سیم یا سیمی، که قربانی نیز به آن متصل است، به سیستمِ هدف دسترسی راه دور داشته باشد.

اگرچه سوءاستفاده از این معضل نیازمند دسترسی فیزیکی است، Sintonen تشریح می‌کند که سرعت و زمان انجام این کار به گونه‌ای‌است که سوءاستفاده را بسیار آسان می‌کند، به‌طوری که حتی یک دقیقه حواس‌پرتی هدف از لپ‌تاپ، برای وارد کردن خسارت کافی است.

به گفته Sintonen، «مهاجمین هدفی را که می‌خواهند مورد سوءاستفاده قرار دهند، شناسایی کرده و مکان‌یابی می‌کنند. آن‌ها در یک مکان عمومی – فرودگاه، کافه، یا لابی هتل – به هدف نزدیک می‌شوند و در یک سناریوی «خدمتکار شیطان» شرکت می‌کنند.»

«اساساً یکی از مهاجمان تمرکز هدف مورد نظر را برهم می‌زند و مهاجم دیگر، در زمان بسیار کوتاهی، به کامپیوتر قربانی دسترسی پیدا می‌کند. حمله نیاز به زمان زیادی ندارد، کل عملیات می‌تواند کمتر از یک دقیقه زمان ببرد.»

F-Secure با همکاری CERT-Coordination Center در ایالات متحده، این معضل امنیتی را به کمپانی اینتل و کلیه تولیدکنندگان دستگاه‌های مرتبط اطلاع داده و از آن‌ها تقاضا کرده تا فوراً این مشکل را برطرف کنند.

تا زمانی که این مشکل رفع نشده، به کاربران و مدیران فناوری اطلاعات در سازمان‌ها توصیه می‌شود، تا کلمه عبور پیش‌فرض AMT دستگاه خود را، به یک کلمه عبور قوی تغییر دهند، یا در صورت امکان، AMT را غیرفعال کنند و هرگز کامپیوتر یا لپ‌تاپ شخصی خود را، بدون مراقبت در یک مکان عمومی رها نکنند.

آدرس اینترنتی خبرhttps://thehackernews.com/2018/01/intel-amt-vulnerability.html
تاریخ درج خبر1396-11-15
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست