Investigadores de seguridad informatica advierten de un nuevo ataque que se ha llevado a cabo en menos de 30 segundos y que potencialmente afecta a millones de computadoras portátiles en todo el mundo.
Mientras Intel se apresuraba a lanzar parches para las vulnerabilidades de Meltdown y Spectre, investigadores de seguridad han descubierto un nuevo fallo crítico en el hardware de Intel que podría permitir a los piratas informáticos acceder a las computadoras portátiles corporativas de manera remota.
La empresa finlandesa de seguridad cibernética F-Secure informó el comportamiento inseguro y engañoso de la tecnología de gestión activa de Intel (AMT) que podría permitir a un atacante eludir los procesos de inicio de sesión y tomar el control total del dispositivo de un usuario en menos de 30 segundos.
AMT es una función que viene con chipsets basados en Intel para mejorar la capacidad de los administradores de TI y proveedores de servicios administrados para controlar mejor sus flotas de dispositivos, lo que les permite administrar y reparar PC, estaciones de trabajo y servidores de forma remota en su organización.
El error permite que cualquier persona que tenga acceso físico a la computadora portátil afectada pueda eludir la necesidad de ingresar credenciales de inicio de sesión, incluidos usuarios, BIOS y contraseñas BitLocker y códigos PIN TPM, lo que permite la administración remota para la post-explotación.
En general, establecer una contraseña de BIOS evita que un usuario no autorizado inicie el dispositivo o realice cambios en el proceso de arranque. Pero esta no es una optima solución en este caso.
La contraseña no impide el acceso no autorizado a la extensión de AMT en la BIOS, lo que permite a los atacantes el acceso para configurar AMT y hacer posible la explotación remota.
Aunque los investigadores han descubierto algunas vulnerabilidades graves de AMT en el pasado, el tema recientemente descubierto es de particular preocupación porque es:
- fácil de explotar sin una sola línea de código,
- afecta a la mayoría de las laptops corporativas de Intel, y
- podría permitir a los atacantes obtener acceso remoto al sistema afectado para su posterior explotación.
«El ataque es casi simple de llevar, pero tiene un increíble potencial destructivo», dijo el investigador principal de seguridad de F-Secure, Harry Sintonen, quien descubrió el problema en julio del año pasado.
«En la práctica, puede proporcionar a un atacante local un control total sobre el portátil de trabajo de una persona, a pesar de que incluso cuenta con las medidas de seguridad más amplias».
Según los investigadores, el error recientemente descubierto no tiene nada que ver con las vulnerabilidades de Spectre y Meltdown encontradas recientemente en los microchips que se usan en casi todas las PC, laptops, teléfonos inteligentes y tabletas en la actualidad.
Aquí está cómo explotar este problema de AMT
Para explotar este problema, todo lo que un atacante necesita es tener acceso a la contraseña (inicio de sesión y BIOS) para poder reiniciar o encender la PC seleccionada y presionar CTRL-P durante el reinicio, como lo demostraron los investigadores en F- Asegure en el vídeo de arriba.
El atacante puede iniciar sesión en la Extensión de BIOS de Intel Management Engine (MEBx) con una contraseña predeterminada. Aquí, la contraseña predeterminada para MEBx es «admin», que probablemente no se modifique en la mayoría de las laptops corporativas.
Una vez que haya iniciado sesión, el atacante puede cambiar la contraseña predeterminada y habilitar el acceso remoto, e incluso configurar la opción de usuario de AMT a «Ninguna». Ahora, como el atacante ha manipulado la máquina de manera eficiente, puede acceder al sistema de forma remota conectándose a la misma red inalámbrica o por cable con la víctima.
Aunque explotar el problema requiere acceso físico, Sintonen explicó que la velocidad y el tiempo en que puede llevarse a cabo lo hace fácilmente explotable, y agrega que incluso un minuto de distracción de un objetivo de su computadora portátil es suficiente para causar el daño.
«Los atacantes han identificado y localizado un objetivo que desean explotar. Se acercan al objetivo en un lugar público -un aeropuerto, un café o el lobby de un hotel- y se involucran en un escenario de ‘mala limpieza'», dice Sintonen.
«Básicamente, un atacante distrae a la persona, mientras que el otro obtiene acceso brevemente a su computadora portátil. El ataque no requiere mucho tiempo: toda la operación puede tardar mucho menos de un minuto en completarse».
Junto con CERT-Coordination Center en los Estados Unidos, F-Secure ha notificado a Intel y a todos los fabricantes de dispositivos relevantes sobre el problema de seguridad y los instó a abordarlo con urgencia.
Mientras tanto, se recomienda a los usuarios y administradores de TI de una organización cambiar la contraseña de AMT predeterminada de su dispositivo a una fuerte o deshabilitar AMT si esta opción está disponible, y nunca dejar su computadora portátil o PC sin supervisión en un lugar público.