Ha sido un año nuevo terrible para Intel.

Los investigadores advierten de un nuevo ataque que puede llevarse a cabo en menos de 30 segundos y que puede afectar a millones de computadoras portátiles en todo el mundo.

A medida que Intel se apresuraba a lanzar parches para las vulnerabilidades Meltdown y Spectre, los investigadores de seguridad han descubierto una nueva falla de seguridad crítica en el hardware de Intel que podría permitir a los hackers acceder a portátiles corporativos de forma remota.

La empresa finlandesa de seguridad cibernética F-Secure informó de un comportamiento predeterminado inseguro y engañoso dentro de la tecnología Intel Active Management Technology (AMT) que podría permitir a un atacante eludir los procesos de inicio de sesión y controlar completamente el dispositivo del usuario en menos de 30 segundos.

AMT es una característica que viene con chipsets basados en Intel para mejorar la capacidad de los administradores de TI y proveedores de servicios gestionados para controlar mejor sus flotas de dispositivos, lo que les permite administrar y reparar remotamente PCs, estaciones de trabajo y servidores en su organización.

El fallo permite a cualquier persona con acceso físico al equipo portátil afectado eludir la necesidad de introducir las credenciales de inicio de sesión-incluyendo las contraseñas de usuario, BIOS y BitLocker y los códigos de pin TPM-habilitando la administración remota para la post-explotación.

En general, establecer una contraseña del BIOS evita que un usuario no autorizado inicie el dispositivo o realice cambios en el proceso de arranque. Pero este no es el caso aquí.

La contraseña no impide el acceso no autorizado a la extensión AMT BIOS, lo que permite a los atacantes acceder a configurar AMT y hacer posible la explotación remota.

Aunque los investigadores han descubierto algunas vulnerabilidades graves de la AMT en el pasado, el tema recientemente descubierto es de particular preocupación porque lo es:

  • fácil de explotar sin una sola línea de código,
  • afecta a la mayoría de los portátiles corporativos de Intel, y
  • podría permitir a los atacantes obtener acceso remoto al sistema afectado para su posterior explotación.

“El ataque es casi engañosamente sencillo de llevar a cabo, pero tiene un potencial destructivo increíble”, dijo Harry Sintonen, investigador principal de seguridad de F-Secure, quien descubrió el problema en julio del año pasado.

“En la práctica, puede dar a un atacante local control total sobre el portátil de trabajo de un individuo, a pesar de las más amplias medidas de seguridad.”

Según los investigadores, el fallo recién descubierto no tiene nada que ver con las vulnerabilidades de Spectre y Meltdown encontradas recientemente en los microchips usados en casi todos los PCs, laptops, smartphones y tabletas de hoy en día.

Para explotar este problema, todo lo que un atacante con acceso físico a una máquina protegida por contraseña (login y BIOS) necesita hacer es reiniciar o encender el PC objetivo y pulsar CTRL-P durante el arranque, como lo demuestran los investigadores de F-Secure en el enlace al vídeo.

El atacante entonces puede iniciar sesión en Intel Management Engine BIOS Extension (MEBx) con una contraseña predeterminada.

Aquí, la contraseña predeterminada para MEBx es “admin”, la cual muy probablemente permanecerá sin cambios en la mayoría de las computadoras portátiles corporativas.

Una vez iniciado sesión, el atacante puede cambiar la contraseña predeterminada y habilitar el acceso remoto, e incluso configurar la opción “Ninguno” del usuario de AMT.

Ahora, ya que el atacante ha retrocedido la máquina eficientemente, puede acceder al sistema remotamente conectándose a la misma red inalámbrica o cableada que la víctima.

A pesar de que explotar el problema requiere acceso físico, Sintonen explicó que la velocidad y el tiempo en que se puede llevar a cabo lo hace fácilmente explotable, añadiendo que incluso un minuto de distracción de un objetivo de su computadora portátil es suficiente para hacer el daño.

“Los atacantes han identificado y localizado un objetivo que desean explotar. Se acercan al objetivo en un lugar público -un aeropuerto, un café o el vestíbulo de un hotel- y se involucran en un escenario de “criada malvada”, dice Sintonen.

“Esencialmente, un atacante distrae al usuario, mientras que el otro obtiene brevemente acceso a su computadora portátil. El ataque no requiere mucho tiempo, toda la operación puede tardar menos de un minuto en completarse”.

Junto con el Centro de Coordinación de CERT en Estados Unidos, F-Secure ha notificado a Intel y a todos los fabricantes de dispositivos pertinentes acerca del problema de seguridad y les ha instado a que lo aborden urgentemente.

Mientras tanto, se recomienda a los usuarios y administradores de TI de una organización que cambien la contraseña AMT predeterminada de su dispositivo a una fuerte o que deshabiliten AMT si esta opción está disponible, y que nunca dejen su computadora portátil o PC desatendida en un lugar público.

Fuente: The Hacker News

Anuncios