Tietoturvayhtiö F-Secure tiedotti perjantaina uudesta Intel-haavoittuvuudesta, joka sallii hyökkääjän ohittaa sisäänkirjautumistunnukset miljoonissa yrityskannettavissa.

Yhtiön löytämä haavoittuvuus Intel AMT-hallintajärjestelmässä sallii hyökkääjän ohittaa BIOS-salasanan, TMP Pinin, Bitlockerin ja sisäänkirjautumistunnukset ja päästää käyttämään lähes mitä tahansa kannettavaa yritystietokonetta sekunneissa.

Haavoittuvuus sallii yhtiön tiedotteen mukaan hyökkääjän, jolla on fyysinen pääsy laitteeseen, asentaa siihen takaportin alle 30 sekunnissa. Se ohittaa sisäänkirjautumisen sekä BIOS- ja Bitlocker-salasanat ja antaa mahdollisuuden käyttää laitetta myöhemmin etäyhteydellä. Haavoittuvuus löytyy Intel Active Management Technology -hallintajärjestelmästä (AMT) ja se voi vaikuttaa miljooniin kannettaviin tietokoneisiin maailmanlaajuisesti.

“Haavoittuvuus on lähes petollisen helppokäyttöinen, mutta sen tuhopotentiaali on valtava”, sanoo tiedotteessa seniorikonsultti Harry Sintonen F-Securelta, joka löysi haavoittuvuuden.

“Käytännössä se voi antaa hyökkääjälle täyden hallinnan henkilön kannettavaan työkoneeseen laajoistakin tietoturvatoimista huolimatta.”

Intel AMT auttaa tietohallintoa ja palvelujentarjoajia laitekannan keskitettyyn hallintaan. Yleisesti yritysten kannettavissa tietokoneissa käytettävän teknologian tietoturvapuutteet ovat olleet aiemminkin julkisuudessa. Nyt löydetty uhka on  aiempia tapauksia yksinkertaisempi.

Olennaisin seikka haavoittuvuudessa on se, että BIOS-salasanan asettaminen, joka normaalisti estää luvatonta käyttäjää tekemästä muutoksia laitteen BIOS-asetuksiin, ei kuitenkaan estä AMT-hallintajärjestelmän BIOS-laajennuksen käyttöä. Tämä sallii hyökkääjän ottaa Intel AMT käyttöön ja mahdollistaa täten kohdejärjestelmän luvattoman etäkäytön.

Haavoittuvuuden hyödyntämistä varten hyökkääjän täytyy vain käynnistää kohdekone tai käynnistää se uudelleen ja painaa CTRL-P käynnistyksen aikana. Hyökkääjä voi sen jälkeen kirjautua Intel Management Engine BIOS (MEBx) -laajennukseen käyttämällä oletusarvoista salasanaa ”admin”, koska se on todennäköisimmin jäänyt muuttamatta suurimmassa osassa kannettavia yrityskoneita. Hyökkääjä voi tämän jälkeen vaihtaa oletussalasanan ja poistaa etäkäyttöluvan kysymisen. Hyökkääjä pääsee nyt laitteelle etäyhteyden kautta, jos hän on samassa verkon osassa uhrin kanssa.

Vaikka alkuperäinen hyökkäys vaatiikin fyysisen pääsyn koneelle, Sintosen mukaan nopeus, jolla se on mahdollista toteuttaa, tekee siitä helposti hyödynnettävän.

”Jätät kannettavan tietokoneesi hotellihuoneeseesi, kun lähdet ulos drinkille. Hyökkääjä murtautuu huoneeseesi ja konfiguroi sylimikrosi alle minuutissa ja voi sen jälkeen olla yhteydessä pöytäkoneeseesi, kun käytät kannettavaa tietokonettasi hotellin lähiverkossa. Ja koska hyökkääjä käyttää yrityksesi VPN-yhteyttä, hyökkääjällä on myös yhteys yrityksen tietovarantoihin.”

Sintonen sanoo, että minuuttikin on riittävä aika tuhon aikaansaamiseksi, jos huomio kiinnittyy muualle kuin kannettavaan vaikkapa lentokentällä tai kahvilassa.

Sintonen löysi ongelman heinäkuussa 2017, ja huomioi, että myös toinen tutkija on maininnut siitä hiljan puheessaan. Tämän takia on erityisen tärkeää, että organisaatiot tietävät haavoittuvuudesta, jotta ne voivat korjata sen ennen kuin sitä hyödynnetään.
Vastaavanlainen haavoittuvuus on löydetty aiemmin CERT-Bundin toimesta, mutta USB Provisioning -yhteyksiin liittyen, Sintonen sanoo. Haavoittuvuus koskee suurinta osaa, mahdollisesti kaikkia kannettavia tietokoneita, jotka käyttävät Intel Management Enginea / Intel AMT:ta.