Intel の Active Management Technology (AMT) の更新されたセキュリティ上の欠陥が悪意のある人物によって悪用され、ノートパソコンのログイン プロンプトがバイパスされる可能性があります。
セキュリティ企業F-Secureによると、Intel AMTの安全でないデフォルト設定により、侵入者はユーザーパスワード、BIOSパスワード、TPMおよびBitLockerのPINを完全に回避し、わずか30秒ほどでほぼすべての企業向けノートパソコンに侵入できる可能性があるという。この問題は、悪用するために標的のコンピュータへの物理的なアクセスを必要とし、最近のSpectreおよびMeltdownの脆弱性とは無関係である。
この問題は、世界中の何百万台ものノートパソコンに影響を及ぼす可能性があります。
AMTは、企業向けPCへのリモートアクセス監視とメンテナンスを提供し、資産のリモート管理を可能にします。この技術の欠陥は以前にも発見されています(例はこちらとこちら)。しかし、今回の脆弱性は、その容易さゆえに依然として注目に値します。「この脆弱性は、コードを1行も記述することなく、わずか数秒で悪用される可能性があります」とF-Secureは報告しています。
通常、BIOSパスワードを設定すると、不正なユーザーによるデバイスの起動や低レベルの変更は防止されますが、AMT BIOS拡張機能へのアクセスは防げません。これにより、攻撃者がAMTの設定にアクセスし、リモートからの攻撃が可能になります。
些細な
パスワードプロンプトを回避するには、攻撃者は標的マシンの電源を入れ、起動中にCtrl+Pキーを押すだけで済みます。その後、攻撃者はデフォルトのパスワード「admin」を使用してIntel Management Engine BIOS Extension(MEBx)にログインできます。これは、ほとんどの企業向けノートPCで変更されていない可能性が高いためです。その後、攻撃者はデフォルトのパスワードを変更し、リモートアクセスを有効にし、AMTのユーザーオプトインを「なし」に設定することができます。
この時点で、攻撃者は被害者のマシンと同じネットワークセグメントに侵入できれば、システムへのリモートアクセスが可能になります。また、攻撃者が運営するCIRAサーバーを介して、ローカルネットワークの外部からデバイスにアクセスすることも可能になります。
インテルの安全でないチップを使ってコンピュータをリモートで乗っ取る方法:空のログイン文字列を使用するだけ
続きを読む
このセキュリティ問題は「一見すると簡単に悪用できるように見えるが、信じられないほどの破壊力を持つ」と、この見落としを発見したF-Secureのシニアセキュリティコンサルタント、ハリー・シントネン氏は述べた。「実際には、最も徹底したセキュリティ対策を施していても、攻撃者が個人の業務用ノートパソコンを完全に制御できる可能性がある」
シントネン氏は、最初の攻撃には物理的なアクセスが必要だが、その実行速度の速さから、いわゆる「悪意あるメイド」のシナリオで容易に悪用できると説明した。「ホテルの部屋にノートパソコンを置いて飲みに出かけるとします」とシントネン氏は述べた。「攻撃者は部屋に侵入し、1分もかからずにノートパソコンの設定を行います。そして、ホテルの無線LANでノートパソコンを使用している間、攻撃者はあなたのデスクトップにアクセスできるようになります。さらに、そのノートパソコンは会社のVPNに接続されているため、攻撃者は会社のリソースにもアクセスできるようになります。」
空港やコーヒーショップでのノートパソコンのハイジャックは、ハッカーの共犯者によって標的がシステムを放置したり、1、2 分ほど気を取られたりした場合にも発生する可能性があります。
シントネン氏とF-Secureの同僚たちは、昨年の初夏以降、この問題に繰り返し遭遇してきました。USBプロビジョニングに関連する同様の脆弱性は、以前CERT-Bundによって発見されていました。F-Secureが指摘した問題は、それや最近発生した他の問題とは異なり、Intel AMTの安全でない構成と導入に関連するものであると同社は確認しています。
F-Secureは、企業が実際にはインテルのガイダンスに従っていないことが大きな問題だと述べ、この問題に注目を集めるために公表したと付け加えた。
「私たちは今年の夏にこの問題を発見し、それ以来、数千台のノートパソコンでこの問題が見つかりました」とF-SecureはEl Reg紙に語った。「メーカー向けにはこの問題の防止方法に関する情報が提供されているにもかかわらず、メーカーは依然としてベストプラクティスに従っておらず、脆弱なノートパソコンが大量に流通しています。組織やユーザーは自ら対策を講じる必要がありますが、ほとんどの人はこれが問題だと認識していません。だからこそ、一般の人々の意識を高めることが重要なのです。」
F-Secureの調査によると、一部のシステムメーカーはMEBxへのアクセスにBIOSパスワードを要求していなかったことが判明しました。その結果、MEBxへのアクセスが制限されておらず、AMTが工場出荷時のデフォルト設定になっているコンピュータに物理的にアクセスできる不正な人物が、AMT設定を変更できる可能性があります。
El Reg は、Intel がシステム メーカーに対し、USB プロビジョニングを無効にするシステム BIOS オプションを提供し、値をデフォルトで無効に設定するように指示し始めたのは 2015 年に入ってからだと理解しています。このガイダンス (PDF) は昨年 11 月に更新され、再度発表されました。
F-Secure は、こうしたすべてのガイダンスにもかかわらず、安全でない Intel AMT セットアップが依然として広く普及していると報告しています。
この問題は、Intel Management Engine/Intel AMTをサポートするほとんどのノートパソコン(すべてではないにしても)に影響します。Chipzillaは、AMTを展開する際にBIOSパスワードを要求するようベンダーに推奨していますが、多くのデバイスメーカーはこのアドバイスに従っていません。
F-Secureは、企業に対し、システムプロビジョニングプロセスを調整し、強力なAMTパスワードの設定と、利用可能な場合はAMTの無効化を行うことを推奨しています。以下は、F-Secureによる調査結果に関するビデオです...®
YouTubeビデオ
追加更新
Intel の広報担当者は、次のように語っています。「一部のシステム メーカーが Intel Management Engine BIOS Extension (MEBx) を保護するようにシステムを構成していないという事実に、セキュリティ研究コミュニティが注意を喚起してくれたことに感謝します。
インテルは2015年にベストプラクティスの設定に関するガイダンスを発行し、2017年11月に更新しました。OEM各社には、セキュリティを最大限に高めるためのシステム設定を強く推奨します。インテルにとって、お客様のセキュリティは最優先事項です。今後もシステムメーカー向けのガイダンスを定期的に更新し、データ保護に関する最適な情報をお客様に提供していきます。
