Pesquisadores Reportam Outra Vulnerabilidade da Intel que Afeta Laptops Corporativos

As más notícias para a segurança de dispositivos com a tecnologia Intel não terminam com as vulnerabilidades Specter e Meltdown recentemente descobertas. O pesquisador Harry Sintonen, da empresa finlandesa F-Secure, relata sobre outro bug perigoso que pode afetar milhões de laptops corporativos. Aparentemente, Sintonen já percebeu a vulnerabilidade em julho de 2017, após detectar algum comportamento padrão inseguro e enganoso da Active Management Technology (AMT) - solução de monitoramento e manutenção de acesso remoto proprietária da Intel que permite que departamentos de TI de grandes empresas tenham melhor controle sobre suas empresas computadores.

Um ataque em potencial que explora essa fraqueza específica da tecnologia da Intel requer acesso físico ao dispositivo de destino e parece simples de conduzir, mas pode ter um enorme potencial destrutivo, pois oferece ao invasor controle completo sobre o laptop de trabalho de alguém. Ler ou modificar dados é o menor dos possíveis danos a esse acesso autorizado; a implantação de malware, apesar da presença de qualquer solução de segurança, pode ser a pior. Além disso, Sintonen destaca que um invasor local pode obter acesso a praticamente qualquer computador corporativo em apenas alguns segundos, mesmo que medidas de segurança como TPM Pin, BIOS Password, BitLocker e credenciais de logon estejam em execução.

O ataque começa reiniciando o PC de destino e entrando no menu de inicialização. A vulnerabilidade oculta a possibilidade de evitar a verificação de senha do BIOS, selecionando MEBs (Management Engine BIOS Extension). Em seguida, o invasor pode efetuar login usando a senha "admin" padrão, uma vez que o usuário não a alterou, o que provavelmente é o caso. Depois disso, para comprometer efetivamente a máquina, o invasor só precisa alterar a senha padrão, habilitar o acesso remoto e definir a opção do usuário da AMT como "Nenhuma". A partir de então, é fácil obter acesso remoto ao PC de destino, conectando-se à mesma rede.

A maneira de resolver essa falha de segurança parece simples à primeira vista, embora os especialistas digam que é bastante complicado de implementar. Além de aconselhar os funcionários a nunca deixarem seus laptops sem observação, as empresas devem ver que suas máquinas corporativas definiram uma senha forte da AMT ou, se possível, desativaram completamente o serviço. Ironicamente, as alterações necessárias no AMT da Intel não podem ser executadas remotamente, o que significa que os departamentos de identificação devem passar por todas as máquinas da empresa e implementar as alterações necessárias, que podem ser muito caras e demoradas em larga escala. Outra recomendação para limitar o impacto de um ataque em potencial seria diminuir o número de ativos afetados.