Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

F-Secure: standaardwachtwoord Intel AMT maakt zakelijke laptops kwetsbaar

Omdat het standaardwachtwoord van Intels Management Engine BIOS Extension zelden gewijzigd wordt, zijn veel zakelijke laptops vatbaar voor onbevoegde toegang op afstand, claimt F-Secure. Voor een aanval is wel fysieke toegang vereist.

Intels Management Engine BIOS Extension, of MEBx, bevat de standaard-inlogcombinatie 'admin', 'admin' en omdat veel gebruikers deze niet wijzigen, opent dit volgens F-Secure de deur naar een makkelijk op te zetten aanval. Aanvallers kunnen de BIOS Extension tijdens het opstarten openen, met Ctrl + P,  ook als de gebruiker een bios-wachtwoord heeft ingesteld. Vervolgens kunnen ze instellingen van de Management Engine beheren.

Zo kunnen ze beheer op afstand mogelijk maken, de gebruikers-opt-in van AMT op 'none' zetten en het wachtwoord voor MEBx wijzigen. Volgens F-Secure zijn zakelijke laptops zo binnen te dringen, zelfs als de gebruiker een tpm-pin heeft ingesteld en Bitlocker van Windows gebruikt voor encryptie. MEBx is alleen geactiveerd op systemen met Intel vPro-processors. Dat inlog en wachtwoord beide 'admin' zijn, staat in de handleiding van Intel.

Wil een aanval slagen dan moet het wachtwoord van MEBx dus niet zijn aangepast. Veel fabrikanten adviseren dit wachtwoord wel aan te passen. Bovendien moet een aanvaller eerst fysieke toegang tot een laptop zien te verkrijgen. Vanuit beveiligingsoogpunt geldt dat fysieke toegang door onbevoegden altijd voorkomen moet worden omdat dit tal van aanvallen mogelijk maakt, onder andere via usb-sticks. Volgens F-Secure is de door hen beschreven aanval via MEBx binnen een minuut te voltooien. Het bedrijf stelt dat het voor it-afdelingen lastig is om het probleem op grote schaal op te lossen en komt het in de praktijk neer op een massale herconfiguratie van apparaten.

Door

Nieuwsco÷rdinator

48 Linkedin Google+

Submitter: AnonymousWP

Reacties (48)

Wijzig sortering
Eigenlijk natuurlijk een open deur dit, machines waarbij het default password niet aangepast is zijn niet veilig, wie had dat toch kunnen bedenken.....

Verder moet een systeem ook wel aan redelijk wat voorwaarden voldoen.

Ten eerste moet het vPro hebben, waar je vaak expliciet voor moet kiezen c.q. op selecteren bij aankoop. Daarnaast moet het systeem gereboot worden en mag het geen boot password hebben en dan moet ook nog eens het vPro password niet aangepast zijn. Dit alles terwijl het systeem ook nog eens onbeheerd achtergelaten moet worden.

Al met al zie ik dit niet echt als lek, het is immers duidelijk beschreven in de documentatie zelfs dat dit het default password is en dat deze aangepast moet worden. Maar een eerder gewoon een faal eerste klas van de beheerders / gebruiker / eigenaar van de laptop wanneer dit misbruikt is. Ten eerste voor het niet aanpassen van het wachtwoord, ten 2de voor het onbeheerd achterlaten van een machine.....
Ik heb een laptop met vPro en ik wist niet eens dat er nog een menu was waar je bij kon met Ctrl+P. (ging er vanuit dat het in de gewone UEFI-instellingen staat)
Je wil niet weten hoevaak mensen hun corporate laptop even alleen laten om naar de wc te gaan of om even een bakkie te halen. Mooi momentje om dit uit te voeren.
En de laptop is gereboot wegens software updates.
Het Ýs ook geen lek, simpelweg een kwetsbaarheid. Die heel simpel te verhelpen is en wat aandacht verdiend.
MEBx is bij sommige vendors gewoon toegankelijk zonder boot password, zelfs al is er een gezet. Is vaak configureerbaar in de BIOS, maar ook daar is de default setting weer dat je het kan.

Het is trouwens niet beperkt tot vPro. Ook zonder vPro heb je gewoon Intel AMT in een business toestel, en dit gaat specifiek over AMT. vPro is gewoon een superset van features bovenop AMT.

[Reactie gewijzigd door DarkJack op 12 januari 2018 21:59]

Beetje oud verhaal dit. F-Secure wil even in het nieuws komen? Een iLo of DRAC met default passwords is ook gevaarlijk. En een laptop zonder encryptie nog gevaarlijker. Gewoon slecht beheer. Zie bijvoorbeeld artikel uit 2014; https://insinuator.net/20...-some-fun-with-mainboards Even lekker het moment pakken door F-Secure en iets over Intel de wereld ingooien. Doet het vast goed nu met de andere (echte) issues.

[Reactie gewijzigd door Association op 12 januari 2018 13:57]

Een iLo krijgt toch altijd een random wachtwoord? Daarom hangt er ook meestal een kaartje aan de server. Of is dit zo'n 'random' wachtwoord gebaseerd op het MAC adres, zoals men in het verleden wel eens met modems van consumenten heeft gedaan?
Inderdaad! Daarnaast moet voor iLO een extra netwerkkabel ingeplugt worden, of moet je in iLO zelf de instellingen wijzigen om gebruik te maken van de hoofdnetwerkadapter. En als je toch in iLO instellingen bent aan het wijzigen, dan hoort daar vaak ook het wachtwoord bij.

Op iLO is dit dus duidelijk niet van toepassing.
Dat ligt eraan, niet iedere iLo implementatie heeft een eigen NIC, op de duurdere servers wel, maar op de goedkopere servers is deze vaak gedeeld. Hetzelfde voor iDrac van Dell trouwens. Nu hebben de HP(E) iLo's wel een random generated password, maar deze zit vaak aan het chassis vast (als die dus niet aangepast wordt en de tag niet verwijderd....). Dell heeft trouwens wel een gewoon een default username / password.
De goedkope servers komen ook al een tijdje met ILO, kleine bakjes van een paar honderd euro hebben het tegenwoordig al. Kost alleen extra centen om langer dan trial te blijven gebruiken.
Volgens mij ook niet meer, volgens mij hebben ze ILO zelfs geschrapt van bijv. de laatste Microservers (Gen10), terwijl de voorgaande generaties wel iLo hadden.

Maar dat is niet wat ik bedoel is, wat ik bedoel is dat de goedkopere iLo implementaties een NIC delen met het systeem, in plaats van dat deze iLo een dedicated nic heeft alleen voor iLo.
Je kunt als SysAdmin ook ervoor kiezen om van iLO gebruik te maken middels een shared NIC, ondanks dat er een dedicated NIC aanwezig is. Enkel de Microserver Gen8 had standaard iLO, op de G7 was het optioneel middels een Remote Access Card.
Goed dat HP het aangepakt heeft. In de tijd dat ik server admin deed was het nog wel een default pass. Bij Dell is dat nog steeds het geval voor zover ik weet (root/calvin). De extra network kabel gaat er vaak gewoon in is mijn ervaring.
Hoeveel desktops en laptops met iLo of DRAC ken jij?
Volgens mij moet je die wel specifiek aansluiten op een netwerk, voordat je erbij kan. Onze servers hebben IPMI, wat eigenlijk hetzelfde is, en die hebben een dedicated netwerkpoort daarvoor.

[Reactie gewijzigd door tiguan op 12 januari 2018 14:17]

Dat is vaak afhankelijk van het model, de (vaak duurdere) modellen met een uitgebreide iLo / iDrac/ andere IPMI implementatie hebben vaak een dedicated NIC inderdaad. Goedkopere uitvoeringen delen echter vaak de NIC, net als bij Laptops / Desktops met vPro het geval is.
Ik heb eigenlijk nog geen enkel bord met IPMI in handen gehad die geen dedicated NIC had, zelfs de goedkoopste Supermicro serverborden met IPMI optie hadden dat, en dan had je het over van die single-Xeon bordjes van rond de 150 euro.

Het lijkt me verder ook bewerkelijker en duurder om juist van die rare shared-NIC trucs uit te halen i.p.v. gewoon dat laatste stukje ook gescheiden uit te voeren (overigens kon shared ook altijd :P). Shared ben ik sowieso geen fan van, als die NIC zelf kuren krijgt gaat je out of band ook het raam uit.
Failover wil je al helemaal niet, vaak genoeg meegemaakt dat er iets misgaat bij het detecteren waar ie op moet komen en de verkeerde interface gebruikt wordt. Dat soort geintjes wil je niet als de boel plat gaat en je er nu bij moet.
Gewoon aparte interface, aparte kabel, en aparte switchport op je management VLAN, lekker voorspelbaar.

[Reactie gewijzigd door Sfynx op 12 januari 2018 18:43]

Bij IPMI heb je 3 opties
- Dedicated, maakt gebruik van zijn eigen poort
- Shared, maakt gebruik van de LAN poort
- Failover, default, detecteert of dedicated up is, anders failover naar LAN poort
een random attacker heeft geen fysieke toegang tot je server

een laptop daarintegen... AMT provisionen duurt minder dan een minuut als je een USB stick hebt, zeer snel gedaan, en een hotelkamer binnen raken is nu ook weer niet zo moeilijk voor degene die het echt willen.
Een iLo of DRAC met default passwords is ook gevaarlijk.
Dat is natuurlijk relatief. Bij bijvoorbeeld Ilo staat het default (min of meer random) wachtwoord op een kaartje die aan het device vast zit en welke aan het device is gebonden. Er is geen default wachtwoord wat op alle devices werkt. Na ingebruikname wijzig je dat wachtwoord natuurlijk direct.

[Reactie gewijzigd door Bor op 12 januari 2018 14:42]

Een aanval op afstand waar fysieke toegang voor nodig is. Mis ik iets?
Euhm, je vergeet ÚÚn zinnetje wat belangrijk is.

Ze hebben fysiek toegang nodig om aanpassingen te doen. Daardoor kunnen ze het mogelijk maken om op afstand te werken
Vervolgens kunnen ze instellingen van de Management Engine beheren.

Zo kunnen ze beheer op afstand mogelijk maken

[Reactie gewijzigd door Kenhas op 12 januari 2018 13:54]

Nee, toegang op afstand waar de aanval zelf fysieke toegang nodig heeft.
Is het 'disabled' zetten van Intel AMT in de BIOS niet de beste optie gezien de recente problemen die steeds met AMT/vPro aan het licht komen?
Dat staat ook in het artikel om het op none te zetten.

Zou liever de IME uitzetten, maar officieel kan die niet uitgezet worden. Er zijn wel wat 'hacks' voor en volgens mij kun je (sinds kort) bij sommige modellen bij Dell aanvinken dat je IME uit wil hebben.

Dit is gewoon ook slecht van de ICT afdelingen van bedrijven zelf. Die zouden bij het uitdelen van de laptops dit moeten aanpassen(1 generiek wachtwoord voor gehele bedrijf is ook niet handig) of uitzetten.
Ik laat nooit apparatuur achter bij klant met default wachtwoorden.

[Reactie gewijzigd door kr4t0s op 12 januari 2018 14:29]

Heb je ook een link naar de bron voor het uitzetten van de IME bij Dell? Ben op zoek naar een PC waar ik dat bij uit kan zetten.
Dat kan ik:

Two Linux vendors, System76 and Purism, have already announced they’ll disable IME going forward, but neither is a top-tier manufacturer. Dell, on the other hand, commands a significant percentage of the PC market, and it’s offering three systems without IME enabled: the Dell Latitude 14 Rugged, the Latitude 15 E5570, and the Latitude 12 Rugged Tablet.

https://www.extremetech.c...anagement-engine-disabled
Heel veel zakelijke modellen verbergen de configuratie van MEBx en deactiveren de hotkey. Moet je expliciet aanzetten in de meeste UEFI.

Standaard wachtwoord is kwalijk maar ik vermoed dat dit vrij weinig impact heeft. Lijkt meer op dat F-Secure op de AMT-bashwagon van 2017 wil springen...
Oftewel, als je even gaat lunchen kan dus je collega of je bezoek de intel amt aanzetten, wachtwoord erop zetten en dus zo op de een of andere manier je laptop daarna overnemen. ( moet die natuurlijk wel weten wat voor een Ip adres je hebt of je hostname weten en in hetzelfde lan zitten.)

[Reactie gewijzigd door Deepdream op 12 januari 2018 14:02]

Access to the device may also be possible from outside the local network via an attacker-operated CIRA server.
https://www.bleepingcompu...-and-bitlocker-passwords/
Standaard wachtwoord is kwalijk maar ik vermoed dat dit vrij weinig impact heeft.
Weet je hoe grote hacks beginnen? Met dit soort gedachten. ;)
Geld dit niet voor alles wat geleverd word met een default password?
Hoeveel modems worden er wel niet geleverd met admin/admin voor login?

Hoe vaak ik wel niet collega's er op moet wijzen om geen default usernames/passwords achter te laten op systeemtoepassingen (met name die richting klanten gaan)
Meeste kan je terugvinden op de eerste pagina van google "MerkX typeY username password"
Totale onzin reactie. Het punt waarvoor F-secure waarschuwt heeft geen relatie met Meltdown / Spectre. Of ben je van mening dat door Meltdown en Spectre alle andere security risico's ineens overbodig zijn om te vermelden? Intel AMT is al vaker in het nieuws geweest vanwege kwetsbaarheden overigens: http://www.zdnet.com/arti...ngine-affecting-millions/

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*