یک چالش امنیتی در تکنولوژی مدیریت فعال (AMT) شرکت اینتل

1 مقدمه
پس از کشف حملات #Meltdown و #Spectre، شرکت #‫اینتل در آشوبی سهمگین به‌سر می‌برد. محققان امنیتی، موفق به کشف یک آسیب‌پذیری جدید در تکنولوژی مدیریت فعال (AMT) شرکت اینتل شده‌اند که می‌تواند توسط مهاجمان از راه دور، اکسپلویت شود و امکان دست‌یابی به چندین لپ‌تاپ شرکتی را طی چند ثانیه فراهم آورد. در شرایط کنونی، میلیون‌ها دستگاه، به‌صورت بالقوه در معرض حملات قرار دارند.
آسیب‌پذیری موجود در سخت‌افزار اینتل، توسط متخصصان امنیتی سازمان F-Secure کشف گردید. این معضل، AMT اینتل را، که یک تکنولوژی سخت‌افزاری و سفت‌افزاری برای مدیریت خارج از باند از راه دور کامپیوترهای شخصی به‌شمار می‌رود، در راستای کنترل، نگهداری، به‌روزرسانی، ارتقا، و تعمیر آنها تحت تاثیر قرار می‌دهد. آسیب‌پذیری مذکور، در سطح تراشه انجام می‌پذیرد و به نرم‌افزار و یا سیستم‌عامل بستگی ندارد.
در جولای 2017 میلادی، هَری سینتونن ، یکی از مشاوران امنیتی ارشد F-Secure، به رفتار ناامن و گمراه‌کننده‌ی پیش‌فرض موجود در AMT پی برد.
حمله می‌تواند اکسپلویت شود تا دسترسی کامل از راه دور به یک شبکه‌ی شرکتی را بدون در اختیار داشتن مهارت خاصی، ممکن سازد.
آسیب‌پذیری می‌تواند توسط مهاجمین و از طریق دسترسی فیزیکی به ماشین‌های تحت تاثیر، اکسپلویت شود تا احراز هویت (اطلاعات اعتباری ورودی، رمزهای عبور BIOS و BitLocker، و کدهای پین TPM) را نادیده بگیرد (دور بزند) و مدیریت از راه دور پس از استثمار را فراهم آورد.
این بدان معنا است که حتی اگر BIOS توسط یک رمزعبور حفاظت شود، امکان دست‌یابی به توسعه‌ی AMT BIOS (توسعه‌ی BIOS موتور مدیریتی (MEBx) اینتل) وجود دارد. رمزعبور پیش‌فرض “admin”، امکان دست‌یابی به AMT را برای مهاجمان فراهم می‌کند.
سناریوی حمله، این امکان را برای مهاجمان فراهم می‌آورد تا دسترسی فیزیکی به ماشین داشته‌باشند و از این طریق، دستگاه را با فشردن کلیدهای CTRL-P در طول فرایند، بوت (راه‌اندازی) نمایند و توسط “admin”، وارد MEBx شوند.
فرایند نصب، آسان است: یک مهاجم، حمله را با راه‌اندازی مجدد ماشین هدف (قربانی) و پس از آن‌که منوی بوت را وارد می‌کند، آغاز می‌نماید. در شرایط عادی، یک نفوذگر باید در این نقطه متوقف شود، زیرا از رمزعبور BIOS مطلع نیست و نمی‌تواند هیچ آسیبی به کامپیوتر وارد نماید.
اگرچه، در این حالت، مهاجم یک راه‌حل نزد خود دارد: AMT! وی می‌تواند با انتخاب MEBx و با بهره‌گیری از رمزعبور پیش‌فرض “admin”، وارد سیستم شود؛ زیرا غالبا، کاربران مبادرت به تغییر این رمزعبور نمی‌نمایند. یک مجرم سایبری سریع، به‌طور موثر، با تغییر رمزعبور پیش‌فرض، فعال نمودن دسترسی از راه دور، و تنظیم opt-in کاربر AMT به “None”، ماشین را به اختیار خود درمی‌آورد.
هنگامی‌که دسترسی از راه دور فعال می‌شود، مهاجم قادر خواهدبود از راه دور به سیستم دست یابد و بخش‌های همان شبکه را با قربانی به اشتراک بگذارد.
شاید با خود بگویید که اکسپلویت کردن به قرابت فیزیکی نیاز دارد، اما محققان F-Secure اذعان دارند که این امر، برای مهاجمان خبره‌ای که حمله‌ی Evil Maid را قدرت بخشیده‌اند، کار پیچیده و دشواری نیست.
برای دریافت کامل متن کلیک نمایید.