F-Secure: standaardwachtwoord Intel AMT maakt zakelijke laptops kwetsbaar

Omdat het standaardwachtwoord van Intels Management Engine BIOS Extension zelden gewijzigd wordt, zijn veel zakelijke laptops vatbaar voor onbevoegde toegang op afstand, claimt F-Secure. Voor een aanval is wel fysieke toegang vereist.

Intels Management Engine BIOS Extension, of MEBx, bevat de standaard-inlogcombinatie 'admin', 'admin' en omdat veel gebruikers deze niet wijzigen, opent dit volgens F-Secure de deur naar een makkelijk op te zetten aanval. Aanvallers kunnen de BIOS Extension tijdens het opstarten openen, met Ctrl + P, ook als de gebruiker een bios-wachtwoord heeft ingesteld. Vervolgens kunnen ze instellingen van de Management Engine beheren.

Zo kunnen ze beheer op afstand mogelijk maken, de gebruikers-opt-in van AMT op 'none' zetten en het wachtwoord voor MEBx wijzigen. Volgens F-Secure zijn zakelijke laptops zo binnen te dringen, zelfs als de gebruiker een tpm-pin heeft ingesteld en Bitlocker van Windows gebruikt voor encryptie. MEBx is alleen geactiveerd op systemen met Intel vPro-processors. Dat inlog en wachtwoord beide 'admin' zijn, staat in de handleiding van Intel.

Wil een aanval slagen dan moet het wachtwoord van MEBx dus niet zijn aangepast. Veel fabrikanten adviseren dit wachtwoord wel aan te passen. Bovendien moet een aanvaller eerst fysieke toegang tot een laptop zien te verkrijgen. Vanuit beveiligingsoogpunt geldt dat fysieke toegang door onbevoegden altijd voorkomen moet worden omdat dit tal van aanvallen mogelijk maakt, onder andere via usb-sticks. Volgens F-Secure is de door hen beschreven aanval via MEBx binnen een minuut te voltooien. Het bedrijf stelt dat het voor it-afdelingen lastig is om het probleem op grote schaal op te lossen en komt het in de praktijk neer op een massale herconfiguratie van apparaten.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 12-01-2018 13:49
48 • submitter: Anonymoussaurus

12-01-2018 • 13:49

48

Submitter: Anonymoussaurus

Lees meer

ClickShare-tool om presentaties te delen bevatte meerdere beveiligingslekken
ClickShare-tool om presentaties te delen bevatte meerdere beveiligingslekken Nieuws van 16 december 2019
'Recent door Intel gemelde AMT-lekken zijn ernstiger dan eerdere varianten'
'Recent door Intel gemelde AMT-lekken zijn ernstiger dan eerdere varianten' Nieuws van 18 juli 2018
Intels AMT-kwetsbaarheid in processors blijkt relatief eenvoudig te misbruiken
Intels AMT-kwetsbaarheid in processors blijkt relatief eenvoudig te misbruiken Nieuws van 8 mei 2017
Intels zakelijke processors bevatten al sinds 2008 ernstig lek
Intels zakelijke processors bevatten al sinds 2008 ernstig lek Nieuws van 2 mei 2017
Meer producten en artikelen
Netwerk en systeembeheer Intel

Reacties (48)

-Moderatie-faq
48
48
34
3
0
8
Wijzig sortering
Dennism
12 januari 2018 14:57
Eigenlijk natuurlijk een open deur dit, machines waarbij het default password niet aangepast is zijn niet veilig, wie had dat toch kunnen bedenken.....

Verder moet een systeem ook wel aan redelijk wat voorwaarden voldoen.

Ten eerste moet het vPro hebben, waar je vaak expliciet voor moet kiezen c.q. op selecteren bij aankoop. Daarnaast moet het systeem gereboot worden en mag het geen boot password hebben en dan moet ook nog eens het vPro password niet aangepast zijn. Dit alles terwijl het systeem ook nog eens onbeheerd achtergelaten moet worden.

Al met al zie ik dit niet echt als lek, het is immers duidelijk beschreven in de documentatie zelfs dat dit het default password is en dat deze aangepast moet worden. Maar een eerder gewoon een faal eerste klas van de beheerders / gebruiker / eigenaar van de laptop wanneer dit misbruikt is. Ten eerste voor het niet aanpassen van het wachtwoord, ten 2de voor het onbeheerd achterlaten van een machine.....
field33P @Dennism12 januari 2018 16:07
Ik heb een laptop met vPro en ik wist niet eens dat er nog een menu was waar je bij kon met Ctrl+P. (ging er vanuit dat het in de gewone UEFI-instellingen staat)
ShellGhost @Dennism12 januari 2018 18:56
Je wil niet weten hoevaak mensen hun corporate laptop even alleen laten om naar de wc te gaan of om even een bakkie te halen. Mooi momentje om dit uit te voeren.
En de laptop is gereboot wegens software updates.
Aikon @Dennism12 januari 2018 19:08
Het ís ook geen lek, simpelweg een kwetsbaarheid. Die heel simpel te verhelpen is en wat aandacht verdiend.
DarkJack @Dennism12 januari 2018 21:58
MEBx is bij sommige vendors gewoon toegankelijk zonder boot password, zelfs al is er een gezet. Is vaak configureerbaar in de BIOS, maar ook daar is de default setting weer dat je het kan.

Het is trouwens niet beperkt tot vPro. Ook zonder vPro heb je gewoon Intel AMT in een business toestel, en dit gaat specifiek over AMT. vPro is gewoon een superset van features bovenop AMT.

[Reactie gewijzigd door DarkJack op 24 juli 2024 08:43]

Anoniem: 105569 12 januari 2018 13:54
Beetje oud verhaal dit. F-Secure wil even in het nieuws komen? Een iLo of DRAC met default passwords is ook gevaarlijk. En een laptop zonder encryptie nog gevaarlijker. Gewoon slecht beheer. Zie bijvoorbeeld artikel uit 2014; https://insinuator.net/20...-some-fun-with-mainboards Even lekker het moment pakken door F-Secure en iets over Intel de wereld ingooien. Doet het vast goed nu met de andere (echte) issues.

[Reactie gewijzigd door Anoniem: 105569 op 23 juli 2024 19:04]

eborn @Anoniem: 10556912 januari 2018 14:21
Een iLo krijgt toch altijd een random wachtwoord? Daarom hangt er ook meestal een kaartje aan de server. Of is dit zo'n 'random' wachtwoord gebaseerd op het MAC adres, zoals men in het verleden wel eens met modems van consumenten heeft gedaan?
Niet Henk @eborn12 januari 2018 14:27
Inderdaad! Daarnaast moet voor iLO een extra netwerkkabel ingeplugt worden, of moet je in iLO zelf de instellingen wijzigen om gebruik te maken van de hoofdnetwerkadapter. En als je toch in iLO instellingen bent aan het wijzigen, dan hoort daar vaak ook het wachtwoord bij.

Op iLO is dit dus duidelijk niet van toepassing.
Dennism
@Niet Henk12 januari 2018 14:40
Dat ligt eraan, niet iedere iLo implementatie heeft een eigen NIC, op de duurdere servers wel, maar op de goedkopere servers is deze vaak gedeeld. Hetzelfde voor iDrac van Dell trouwens. Nu hebben de HP(E) iLo's wel een random generated password, maar deze zit vaak aan het chassis vast (als die dus niet aangepast wordt en de tag niet verwijderd....). Dell heeft trouwens wel een gewoon een default username / password.
batjes @Dennism12 januari 2018 14:56
De goedkope servers komen ook al een tijdje met ILO, kleine bakjes van een paar honderd euro hebben het tegenwoordig al. Kost alleen extra centen om langer dan trial te blijven gebruiken.
Dennism
@batjes12 januari 2018 15:10
Volgens mij ook niet meer, volgens mij hebben ze ILO zelfs geschrapt van bijv. de laatste Microservers (Gen10), terwijl de voorgaande generaties wel iLo hadden.

Maar dat is niet wat ik bedoel is, wat ik bedoel is dat de goedkopere iLo implementaties een NIC delen met het systeem, in plaats van dat deze iLo een dedicated nic heeft alleen voor iLo.
MisteRMeesteR Moderator PNS & NT @Dennism12 januari 2018 15:34
Je kunt als SysAdmin ook ervoor kiezen om van iLO gebruik te maken middels een shared NIC, ondanks dat er een dedicated NIC aanwezig is. Enkel de Microserver Gen8 had standaard iLO, op de G7 was het optioneel middels een Remote Access Card.
Anoniem: 105569 @eborn12 januari 2018 14:39
Goed dat HP het aangepakt heeft. In de tijd dat ik server admin deed was het nog wel een default pass. Bij Dell is dat nog steeds het geval voor zover ik weet (root/calvin). De extra network kabel gaat er vaak gewoon in is mijn ervaring.
Motion2 @Anoniem: 10556913 januari 2018 08:49
Toevallig net een R740 geïnstalleerd. Daar zit tegenwoordig een tag op met het random gegenereerde wachtwoord.
Olaf van der Spek @Anoniem: 10556912 januari 2018 14:03
Hoeveel desktops en laptops met iLo of DRAC ken jij?
Anoniem: 105569 @Olaf van der Spek12 januari 2018 14:05
Geen, maar dat is een zelfde soort "issue", dat is wat ik er mee aan wil geven.
tiguan @Anoniem: 10556912 januari 2018 14:17
Volgens mij moet je die wel specifiek aansluiten op een netwerk, voordat je erbij kan. Onze servers hebben IPMI, wat eigenlijk hetzelfde is, en die hebben een dedicated netwerkpoort daarvoor.

[Reactie gewijzigd door tiguan op 24 juli 2024 08:43]

Dennism
@tiguan12 januari 2018 14:44
Dat is vaak afhankelijk van het model, de (vaak duurdere) modellen met een uitgebreide iLo / iDrac/ andere IPMI implementatie hebben vaak een dedicated NIC inderdaad. Goedkopere uitvoeringen delen echter vaak de NIC, net als bij Laptops / Desktops met vPro het geval is.
Sfynx @Dennism12 januari 2018 18:34
Ik heb eigenlijk nog geen enkel bord met IPMI in handen gehad die geen dedicated NIC had, zelfs de goedkoopste Supermicro serverborden met IPMI optie hadden dat, en dan had je het over van die single-Xeon bordjes van rond de 150 euro.

Het lijkt me verder ook bewerkelijker en duurder om juist van die rare shared-NIC trucs uit te halen i.p.v. gewoon dat laatste stukje ook gescheiden uit te voeren (overigens kon shared ook altijd :P). Shared ben ik sowieso geen fan van, als die NIC zelf kuren krijgt gaat je out of band ook het raam uit.
Failover wil je al helemaal niet, vaak genoeg meegemaakt dat er iets misgaat bij het detecteren waar ie op moet komen en de verkeerde interface gebruikt wordt. Dat soort geintjes wil je niet als de boel plat gaat en je er nu bij moet.
Gewoon aparte interface, aparte kabel, en aparte switchport op je management VLAN, lekker voorspelbaar.

[Reactie gewijzigd door Sfynx op 24 juli 2024 08:43]

monotype @Sfynx13 januari 2018 00:39
Mijn Supermicro X7SPA-HF (https://www.supermicro.nl...H9/X7SPA.cfm?typ=H&IPMI=Y) heeft twee netwerkpoorten, waarvan een gedeeld met IPMI, dus ze bestaan zeker.

Werkt prima (in een NAS bakje), maar ik zal inderdaad de IPMI-poort voor niks anders gebruiken ;-)
wica @tiguan12 januari 2018 14:48
Bij IPMI heb je 3 opties
- Dedicated, maakt gebruik van zijn eigen poort
- Shared, maakt gebruik van de LAN poort
- Failover, default, detecteert of dedicated up is, anders failover naar LAN poort
DarkJack @Anoniem: 10556912 januari 2018 22:01
een random attacker heeft geen fysieke toegang tot je server

een laptop daarintegen... AMT provisionen duurt minder dan een minuut als je een USB stick hebt, zeer snel gedaan, en een hotelkamer binnen raken is nu ook weer niet zo moeilijk voor degene die het echt willen.
Anoniem: 105569 @DarkJack13 januari 2018 10:12
Ik kom genoeg Dell servers tegen met root/calvin, en de DRAC "netjes" aangesloten. Dus helemaal geen fysieke toegang nodig. Nog veel gevaarlijker. Als je toegang tot een laptop hebt zijn er legio andere opties om binnen te dringen. En dan nog is het niet zo dat men even "zo" in kan loggen. Ook valt het nogal op als iemand via KVM mee aan het kijken is via AMT.
Bor Coördinator Frontpage Admins / FP Powermod @Anoniem: 10556912 januari 2018 14:42
Een iLo of DRAC met default passwords is ook gevaarlijk.
Dat is natuurlijk relatief. Bij bijvoorbeeld Ilo staat het default (min of meer random) wachtwoord op een kaartje die aan het device vast zit en welke aan het device is gebonden. Er is geen default wachtwoord wat op alle devices werkt. Na ingebruikname wijzig je dat wachtwoord natuurlijk direct.

[Reactie gewijzigd door Bor op 24 juli 2024 08:43]

Anoniem: 105569 @Bor13 januari 2018 10:12
Na ingebruikname wijzig je dat wachtwoord natuurlijk direct.
Laat dat nu net ook het probleem hier zijn..
gabba25 12 januari 2018 13:51
Een aanval op afstand waar fysieke toegang voor nodig is. Mis ik iets?
Kenhas @gabba2512 januari 2018 13:53
Euhm, je vergeet één zinnetje wat belangrijk is.

Ze hebben fysiek toegang nodig om aanpassingen te doen. Daardoor kunnen ze het mogelijk maken om op afstand te werken
Vervolgens kunnen ze instellingen van de Management Engine beheren.

Zo kunnen ze beheer op afstand mogelijk maken

[Reactie gewijzigd door Kenhas op 24 juli 2024 08:43]

SinergyX @gabba2512 januari 2018 13:55
Nee, toegang op afstand waar de aanval zelf fysieke toegang nodig heeft.
Eastern 12 januari 2018 14:18
Is het 'disabled' zetten van Intel AMT in de BIOS niet de beste optie gezien de recente problemen die steeds met AMT/vPro aan het licht komen?
kr4t0s @Eastern12 januari 2018 14:28
Dat staat ook in het artikel om het op none te zetten.

Zou liever de IME uitzetten, maar officieel kan die niet uitgezet worden. Er zijn wel wat 'hacks' voor en volgens mij kun je (sinds kort) bij sommige modellen bij Dell aanvinken dat je IME uit wil hebben.

Dit is gewoon ook slecht van de ICT afdelingen van bedrijven zelf. Die zouden bij het uitdelen van de laptops dit moeten aanpassen(1 generiek wachtwoord voor gehele bedrijf is ook niet handig) of uitzetten.
Ik laat nooit apparatuur achter bij klant met default wachtwoorden.

[Reactie gewijzigd door kr4t0s op 24 juli 2024 08:43]

Tout @kr4t0s12 januari 2018 16:15
Heb je ook een link naar de bron voor het uitzetten van de IME bij Dell? Ben op zoek naar een PC waar ik dat bij uit kan zetten.
kr4t0s @Tout12 januari 2018 16:31
Dat kan ik:

Two Linux vendors, System76 and Purism, have already announced they’ll disable IME going forward, but neither is a top-tier manufacturer. Dell, on the other hand, commands a significant percentage of the PC market, and it’s offering three systems without IME enabled: the Dell Latitude 14 Rugged, the Latitude 15 E5570, and the Latitude 12 Rugged Tablet.

https://www.extremetech.c...anagement-engine-disabled
Tout @kr4t0s12 januari 2018 17:24
Ja, ik zie het in het artikel :) Helaas als ik doorklik op de 14 rugged en de 12 dan is de optie verdwenen. De E5570 lijkt opgevolgd door de E5580, welke een andere processor heeft en de optie helemaal niet biedt. Net te laat :(
kr4t0s @Tout12 januari 2018 21:16
Even met Dell chatten of bellen wellicht hebben ze nog andere modellen of die binnenkort uitkomen.
ari2asem @kr4t0s13 januari 2018 13:15
dus beter om AMT in BIOS, UIT te zetten dan AAN te zetten?
MMaster23 12 januari 2018 13:55
Heel veel zakelijke modellen verbergen de configuratie van MEBx en deactiveren de hotkey. Moet je expliciet aanzetten in de meeste UEFI.

Standaard wachtwoord is kwalijk maar ik vermoed dat dit vrij weinig impact heeft. Lijkt meer op dat F-Secure op de AMT-bashwagon van 2017 wil springen...
ShellGhost @MMaster2312 januari 2018 18:53
Think again. https://www.youtube.com/watch?v=aSYlzgVacmw
MMaster23 @ShellGhost12 januari 2018 18:55
Dat is meer een demo van amt dan iets anders. Zoals andere comments aangeven.. Remote management systeem met een onveranderd beheer wachtwoord.. Wat een lek!
Anoniem: 928211 12 januari 2018 14:02
Oftewel, als je even gaat lunchen kan dus je collega of je bezoek de intel amt aanzetten, wachtwoord erop zetten en dus zo op de een of andere manier je laptop daarna overnemen. ( moet die natuurlijk wel weten wat voor een Ip adres je hebt of je hostname weten en in hetzelfde lan zitten.)

[Reactie gewijzigd door Anoniem: 928211 op 24 juli 2024 08:43]

ShellGhost @Anoniem: 92821112 januari 2018 18:54
Access to the device may also be possible from outside the local network via an attacker-operated CIRA server.
https://www.bleepingcompu...-and-bitlocker-passwords/
Olaf van der Spek 12 januari 2018 14:02
Standaard wachtwoord is kwalijk maar ik vermoed dat dit vrij weinig impact heeft.
Weet je hoe grote hacks beginnen? Met dit soort gedachten. ;)
HADES2001 12 januari 2018 16:24
Geld dit niet voor alles wat geleverd word met een default password?
Hoeveel modems worden er wel niet geleverd met admin/admin voor login?

Hoe vaak ik wel niet collega's er op moet wijzen om geen default usernames/passwords achter te laten op systeemtoepassingen (met name die richting klanten gaan)
Meeste kan je terugvinden op de eerste pagina van google "MerkX typeY username password"
Pinkys Brain @HADES200114 januari 2018 13:15
Dit is meer alsof er twee default passwords zijn, een makkelijk zichtbaar en een tweede waarvoor je de handleiding moet lezen om hem te vinden. En waar de tweede niet instellen de eerste nutteloos maakt.
434365 12 januari 2018 15:29
F-Secure hobbelt zoals gewoonlijk weer eens achter de feiten aan, en probeert nu met een of ander slap verhaal nog een graantje mee te pikken van het hele Meltdown/Spectre verhaal? Beetje zielig...
Bor Coördinator Frontpage Admins / FP Powermod @43436512 januari 2018 16:07
Totale onzin reactie. Het punt waarvoor F-secure waarschuwt heeft geen relatie met Meltdown / Spectre. Of ben je van mening dat door Meltdown en Spectre alle andere security risico's ineens overbodig zijn om te vermelden? Intel AMT is al vaker in het nieuws geweest vanwege kwetsbaarheden overigens: http://www.zdnet.com/arti...ngine-affecting-millions/
Anoniem: 105569 @Bor13 januari 2018 10:09
Heeft er niks mee te maken an sich, maar Intel is nu veel negatief in het nieuws en het is toch anders wel heel toevallig. Gaat F-Secure nu elke week waarschuwen voor dit soort gevaren? Dus totaal onzin reactie is het niet.
mutley69 13 januari 2018 12:28
Het probleem is - dat er overal veel te veel spulletjes in zitten die je gewoon niet kan uitschakelen. Tot het mis gaat. Zet het uit - tot iemand het wil aanzetten - dat is de beste beveiliging. Opt-in ipv. opt-out - opt-out zou standaard voor alles door de wetgever verboden moeten zijn (en dat geldt echt voor alles mijns inziens).

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq