Pas accès à un VPN ?
Utilisez les SmartDNS.
Toute box. Tout OS.




14 janv

Une vulnérabilité Intel AMT vous menace peut-être

Publié le 14/01/2018

L’éditeur F-Secure a découvert une vulnérabilité majeure affectant la plupart des ordinateurs portables professionnels. Celle-ci permet à un hacker disposant d’un accès physique à l’appareil, de le pirater en moins de 30 secondes. Explications.

La vulnérabilité décrite dans ce communiqué affecte la plupart, sinon tous les ordinateurs portables qui prennent en charge Intel Management Engine / Intel AMT. Elle n’a par contre aucun lien avec les vulnérabilités récemment dévoilées Spectre et Meltdown.

Autopsie

Cette vulnérabilité est « d’une simplicité presque effarante, mais son potentiel destructeur est incroyable », déclare Harry Sintonen, Senior Security Consultant chez F-Secure, à l’origine de la découverte de cette vulnérabilité. « En pratique, cette faille peut donner au hacker le contrôle total sur l’ordinateur portable concerné, et ce, en dépit des mesures de sécurité les plus pointues ».

Intel AMT est une solution de contrôle d’accès à distance et de maintenance pour les ordinateurs professionnels. Elle a été conçue pour permettre aux services informatiques ou aux fournisseurs de services managés de gérer plus efficacement leur parc d’appareils. Cette technologie très répandue a déjà présenté de nombreuses failles de sécurité par le passé, mais la simplicité d’exploitation de cette vulnérabilité est sans précédent. Cette faille peut être exploitée en quelques secondes, sans une seule ligne de code.

La définition d’un mot de passe BIOS empêche en principe un utilisateur non-autorisé de démarrer le périphérique ou d’y apporter des modifications... mais un accès non-autorisé au BIOS AMT reste possible. La vulnérabilité tire profit de ce paradoxe. Le pirate peut ainsi accéder à l’ordinateur pour modifier sa configuration et ainsi permettre une exploitation à distance.

Il suffit au pirate de redémarrer (ou d’allumer) l’ordinateur en question, puis d’appuyer sur CTRL- P pendant le démarrage. Il se connecte ensuite à Intel Management Engine BIOS Extension (MEBx) en utilisant le mot de passe par défaut, "admin", puisque, la plupart du temps, cette valeur par défaut n’est pas personnalisée. Il modifie ensuite le mot de passe, active l’accès à distance et définit l’option d’entrée de l’utilisateur AMT sur "Aucun". Il est alors en mesure d’accéder au système, à distance, à partir de réseaux sans fil ou câblés : cet accès est possible via une connexion sur le même segment de réseau que sa victime, ou bien depuis l’extérieur, via un serveur CIRA.

Harry Sintonen a découvert le problème en juillet 2017. Un autre chercheur a également fait, plus récemment, état de cette vulnérabilité. Il est essentiel que les entreprises et les administrations soient informées du problème afin de pouvoir corriger cette faille avant qu’elle ne soit exploitée. Par le passé, une vulnérabilité similaire a également été signalée par CERT-Bund, mais celle-ci concernait le provisionnement USB, rappelle Harry Sintonen.

Partager cet article :

Vous souhaitez reproduire cet article ?