مشکل امنیتی جدید در فناوری AMT در پردازنده‌های اینتل به مهاجمان اجازه می‌دهد که در 30 ثانیه کنترل کامل یک لپ‌تاپ را در اختیار گیرند. - مرکز پژوهشی آپا

AMT

محققان نسبت به یک حمله جدید هشدار می‌دهند که می‌تواند در کمتر از ۳۰ ثانیه انجام شود و به‌طور بالقوه میلیون‌ها لپ‌تاپ در سراسر جهان را تحت تأثیر قرار دهد.

در هنگامی‌که اینتل در حال تلاش برای انتشار وصله‌هایی برای آسیب‌پذیری‌های Meltdown و Specter است [۱]، محققان امنیتی نقص امنیتی جدیدی را در سخت‌افزار اینتل کشف کرده‌اند که می‌تواند به مهاجمان اجازه دهد تا از راه دور به لپ‌تاپ‌های مورد هدف دسترسی داشته باشند.

شرکت فن‌آوری سایبری فنلاندی F-Secure یک رفتار پیش‌فرض غیرقانونی و گمراه‌کننده در فناوری Intel Active Management Technology یا AMT را گزارش کرد[۲] که می‌تواند به مهاجم اجازه دهد فرایندهای ورودی را از بین ببرد و در کمتر از ۳۰ ثانیه کنترل کامل دستگاه کاربر را در اختیار گیرد.

AMT یک ویژگی است که همراه با تراشه‌های اینتل و به‌منظور افزایش توانایی مدیران فناوری اطلاعات و ارائه‌دهندگان خدمات مدیریتی برای کنترل بهتر سیستم‌های سازمان ارائه شده است. این ویژگی به مدیران اجازه می‌دهد تا آن‌ها از راه دور workstationها، سرورها و کامپیوترهای شخصی را در سازمان خود مدیریت و تعمیر می‌کند.

این اشکال به هرکسی که دسترسی فیزیکی به لپ‌تاپ آلوده‌شده دارد اجازه می‌دهد که نیاز به وارد کردن اطلاعات ورودی ازجمله کلمات عبور کاربر، بایوس و BitLocker و همچنین پین کدهای TPM را نداشته باشد و دسترسی از راه دور مدیریتی را برای بهره‌برداری‌های آتی از لپ‌تاپ موردنظر فعال کند.

به‌طور عمومی، تنظیم یک کلمه عبور بایوس از اینکه یک کاربر غیرمجاز دستگاه موردنظر را راه‌اندازی کند و یا اینکه در فرآیند راه‌اندازی سیستم تغییر ایجاد کند، جلوگیری می‌کند. اما در اینجا این مورد مطرح نیست.

این رمز عبور از دسترسی غیرمجاز به افزونه AMT در بایوس جلوگیری نمی‌کند و از همین طریق به مهاجم اجازه دسترسی برای تغییر پیکربندی AMT را می‌دهد که از این طریق بهره‌برداری از راه دور فعال می‌شود.

اگرچه محققان برخی از آسیب‌پذیری‌های شدید AMT را درگذشته کشف کرده‌اند[۳]، اما مشکلی که اخیراً کشف‌شده موجب نگرانی‌های خاصی شده است، زیرا این آسیب‌پذیری:

به‌آسانی و بدون نیاز به حتی یک خط کد قابل بهره‌برداری است.
بیشتر لپ‌تاپ‌های دارای چیپست اینتل را تحت تأثیر قرار می‌دهد.
می‌تواند مهاجمان را قادر به دسترسی از راه دور به سیستم آسیب‌دیده برای بهره‌برداری‌های بعدی از آن کند.

Harry Sintonen، کارشناس ارشد امنیت F-Secure که این آسیب‌پذیری را در ماه ژوئیه سال ۲۰۱۷ کشف کرد، دراین‌باره گفته است: “این حمله فریبکارانه بسیار ساده است، اما یک پتانسیل تخریب باورنکردنی دارد. در عمل، باوجود حتی گسترده‌ترین اقدامات امنیتی، می‌تواند کنترل کامل یک لپ‌تاپ شخصی را در اختیار یک مهاجم محلی قرار دهد.”

به گفته محققان، این اشکال تازه کشف‌شده هیچ ارتباطی با آسیب‌پذیری‌های Spectre و Meltdown که اخیراً در میکروچیپ‌های بیشتر رایانه‌های شخصی، لپ‌تاپ‌ها، گوشی‌های هوشمند و تبلت‌ها کشف شده، ندارد.

در اینجا چگونگی بهره‌برداری از آسیب‌پذیری AMT آورده شده است.

همان‌طور که محققان F-Secure در این ویدیو[۴] نشان دادند، برای بهره‌برداری از این آسیب‌پذیری، تمام‌ِ کاری که یک مهاجم که دسترسی فیزیکی به یک دستگاه محافظت‌شده با رمز ورود (بایوس و ورودی) دارد، باید انجام دهد عبارت است از راه‌اندازی مجدد یا فعال کردن کامپیوتر شخصی هدف و فشردن CTRL-P در هنگام بوت شدن.

پس‌ازآن مهاجم می‌تواند به افزونه Intel Engine Engine در بایوس یا MEBx و با یک رمز عبور پیش‌فرض وارد شود.

در اینجا، رمز عبور پیش‌فرض برای MEBx عبارت admin است که به‌احتمال‌زیاد در اغلب نوت‌بوک‌های شرکتی بدون تغییر باقی می‌ماند.

در حال حاضر، از زمانی که مهاجم به‌طور مؤثر از یک در پشتی برای ورود به سیستم استفاده کرده است، مهاجم موردنظر می‌تواند از راه دور و با اتصال به شبکه بی‌سیم و یا شبکه باسیمی که شخص قربانی نیز به آن متصل است، به سیستم قربانی دسترسی پیدا کند.

اگرچه بهره‌برداری از این مسئله نیاز به دسترسی فیزیکی دارد، Sintonen توضیح داد که سرعت و زمان انجام آن طوری است که می‌تواند به‌راحتی قابل بهره‌برداری باشد و افزود که حتی یک دقیقه از حواس‌پرتی کاربر نسبت به لپ‌تاپ کافی است تا آسیب مربوطه به وجود آید.

Sintonen دراین‌باره می‌گوید: “مهاجمان هدف موردنظر خود را که می‌خواهند از آن بهره‌برداری کنند شناسایی و مکان‌یابی می‌کنند. در مرحله بعدی آن‌ها در یک مکان عمومی (یک فرودگاه، یک کافه یا یک لابی هتل) سناریوی evil maid را بر روی لپ‌تاپ موردنظر پیاده‌سازی می‌کنند. اساساً این سناریو بدین‌صورت است که یک مهاجم حواس قربانی را پرت می‌کند، درحالی‌که فرد مهاجم دیگر در یک ‌زمان خیلی کوتاه به لپ‌تاپ قربانی دسترسی فیزیکی پیدا می‌کند. این حمله به زمان زیادی نیاز ندارد و کل عملیات می‌تواند به‌خوبی و در یک دقیقه انجام شود.”

F-Secure همراه با مرکز هماهنگی CERT در ایالات‌متحده، به اینتل و تمام تولیدکنندگان دستگاه‌های مربوطه درباره این مسئله امنیتی هشدار داده است و از آن‌ها خواسته است تا آن‌ها فوراً اقدامات لازم را نسبت به این آسیب‌پذیری انجام دهند.

در همین حال، به کاربران و مدیران فناوری اطلاعات در یک سازمان توصیه می‌شود که رمز عبور پیش‌فرض AMT خود را به یک کلمه عبور قوی تغییر داده و یا ویژگی AMT را غیرفعال کنند (اگر این گزینه در دسترس است) و هرگز لپ‌تاپ یا رایانه خود را در یک مکان عمومی حتی به مدت خیلی کوتاه رها نکنند.