Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

F-Secure: standaardwachtwoord Intel AMT maakt zakelijke laptops kwetsbaar

Omdat het standaardwachtwoord van Intels Management Engine BIOS Extension zelden gewijzigd wordt, zijn veel zakelijke laptops vatbaar voor onbevoegde toegang op afstand, claimt F-Secure. Voor een aanval is wel fysieke toegang vereist.

Intels Management Engine BIOS Extension, of MEBx, bevat de standaard-inlogcombinatie 'admin', 'admin' en omdat veel gebruikers deze niet wijzigen, opent dit volgens F-Secure de deur naar een makkelijk op te zetten aanval. Aanvallers kunnen de BIOS Extension tijdens het opstarten openen, met Ctrl + P, ook als de gebruiker een bios-wachtwoord heeft ingesteld. Vervolgens kunnen ze instellingen van de Management Engine beheren.

Zo kunnen ze beheer op afstand mogelijk maken, de gebruikers-opt-in van AMT op 'none' zetten en het wachtwoord voor MEBx wijzigen. Volgens F-Secure zijn zakelijke laptops zo binnen te dringen, zelfs als de gebruiker een tpm-pin heeft ingesteld en Bitlocker van Windows gebruikt voor encryptie. MEBx is alleen geactiveerd op systemen met Intel vPro-processors. Dat inlog en wachtwoord beide 'admin' zijn, staat in de handleiding van Intel.

Wil een aanval slagen dan moet het wachtwoord van MEBx dus niet zijn aangepast. Veel fabrikanten adviseren dit wachtwoord wel aan te passen. Bovendien moet een aanvaller eerst fysieke toegang tot een laptop zien te verkrijgen. Vanuit beveiligingsoogpunt geldt dat fysieke toegang door onbevoegden altijd voorkomen moet worden omdat dit tal van aanvallen mogelijk maakt, onder andere via usb-sticks. Volgens F-Secure is de door hen beschreven aanval via MEBx binnen een minuut te voltooien. Het bedrijf stelt dat het voor it-afdelingen lastig is om het probleem op grote schaal op te lossen en komt het in de praktijk neer op een massale herconfiguratie van apparaten.

Door Olaf van Miltenburg

Nieuwscoördinator

12-01-2018 • 13:49

48 Linkedin Google+

Submitter: AnonymousWP

Reacties (48)

Wijzig sortering
Mijn Supermicro X7SPA-HF (https://www.supermicro.nl...H9/X7SPA.cfm?typ=H&IPMI=Y) heeft twee netwerkpoorten, waarvan een gedeeld met IPMI, dus ze bestaan zeker.

Werkt prima (in een NAS bakje), maar ik zal inderdaad de IPMI-poort voor niks anders gebruiken ;-)
Ik kom genoeg Dell servers tegen met root/calvin, en de DRAC "netjes" aangesloten. Dus helemaal geen fysieke toegang nodig. Nog veel gevaarlijker. Als je toegang tot een laptop hebt zijn er legio andere opties om binnen te dringen. En dan nog is het niet zo dat men even "zo" in kan loggen. Ook valt het nogal op als iemand via KVM mee aan het kijken is via AMT.
Na ingebruikname wijzig je dat wachtwoord natuurlijk direct.
Laat dat nu net ook het probleem hier zijn..
Dit is meer alsof er twee default passwords zijn, een makkelijk zichtbaar en een tweede waarvoor je de handleiding moet lezen om hem te vinden. En waar de tweede niet instellen de eerste nutteloos maakt.
Het probleem is - dat er overal veel te veel spulletjes in zitten die je gewoon niet kan uitschakelen. Tot het mis gaat. Zet het uit - tot iemand het wil aanzetten - dat is de beste beveiliging. Opt-in ipv. opt-out - opt-out zou standaard voor alles door de wetgever verboden moeten zijn (en dat geldt echt voor alles mijns inziens).

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True