Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

F-Secure: standaardwachtwoord Intel AMT maakt zakelijke laptops kwetsbaar

Omdat het standaardwachtwoord van Intels Management Engine BIOS Extension zelden gewijzigd wordt, zijn veel zakelijke laptops vatbaar voor onbevoegde toegang op afstand, claimt F-Secure. Voor een aanval is wel fysieke toegang vereist.

Intels Management Engine BIOS Extension, of MEBx, bevat de standaard-inlogcombinatie 'admin', 'admin' en omdat veel gebruikers deze niet wijzigen, opent dit volgens F-Secure de deur naar een makkelijk op te zetten aanval. Aanvallers kunnen de BIOS Extension tijdens het opstarten openen, met Ctrl + P,  ook als de gebruiker een bios-wachtwoord heeft ingesteld. Vervolgens kunnen ze instellingen van de Management Engine beheren.

Zo kunnen ze beheer op afstand mogelijk maken, de gebruikers-opt-in van AMT op 'none' zetten en het wachtwoord voor MEBx wijzigen. Volgens F-Secure zijn zakelijke laptops zo binnen te dringen, zelfs als de gebruiker een tpm-pin heeft ingesteld en Bitlocker van Windows gebruikt voor encryptie. MEBx is alleen geactiveerd op systemen met Intel vPro-processors. Dat inlog en wachtwoord beide 'admin' zijn, staat in de handleiding van Intel.

Wil een aanval slagen dan moet het wachtwoord van MEBx dus niet zijn aangepast. Veel fabrikanten adviseren dit wachtwoord wel aan te passen. Bovendien moet een aanvaller eerst fysieke toegang tot een laptop zien te verkrijgen. Vanuit beveiligingsoogpunt geldt dat fysieke toegang door onbevoegden altijd voorkomen moet worden omdat dit tal van aanvallen mogelijk maakt, onder andere via usb-sticks. Volgens F-Secure is de door hen beschreven aanval via MEBx binnen een minuut te voltooien. Het bedrijf stelt dat het voor it-afdelingen lastig is om het probleem op grote schaal op te lossen en komt het in de praktijk neer op een massale herconfiguratie van apparaten.

Door Olaf van Miltenburg

Nieuwsco÷rdinator

12-01-2018 • 13:49

48 Linkedin Google+

Submitter: AnonymousWP

Reacties (48)

Wijzig sortering
Eigenlijk natuurlijk een open deur dit, machines waarbij het default password niet aangepast is zijn niet veilig, wie had dat toch kunnen bedenken.....

Verder moet een systeem ook wel aan redelijk wat voorwaarden voldoen.

Ten eerste moet het vPro hebben, waar je vaak expliciet voor moet kiezen c.q. op selecteren bij aankoop. Daarnaast moet het systeem gereboot worden en mag het geen boot password hebben en dan moet ook nog eens het vPro password niet aangepast zijn. Dit alles terwijl het systeem ook nog eens onbeheerd achtergelaten moet worden.

Al met al zie ik dit niet echt als lek, het is immers duidelijk beschreven in de documentatie zelfs dat dit het default password is en dat deze aangepast moet worden. Maar een eerder gewoon een faal eerste klas van de beheerders / gebruiker / eigenaar van de laptop wanneer dit misbruikt is. Ten eerste voor het niet aanpassen van het wachtwoord, ten 2de voor het onbeheerd achterlaten van een machine.....
Ik heb een laptop met vPro en ik wist niet eens dat er nog een menu was waar je bij kon met Ctrl+P. (ging er vanuit dat het in de gewone UEFI-instellingen staat)
Je wil niet weten hoevaak mensen hun corporate laptop even alleen laten om naar de wc te gaan of om even een bakkie te halen. Mooi momentje om dit uit te voeren.
En de laptop is gereboot wegens software updates.
Het Ýs ook geen lek, simpelweg een kwetsbaarheid. Die heel simpel te verhelpen is en wat aandacht verdiend.
MEBx is bij sommige vendors gewoon toegankelijk zonder boot password, zelfs al is er een gezet. Is vaak configureerbaar in de BIOS, maar ook daar is de default setting weer dat je het kan.

Het is trouwens niet beperkt tot vPro. Ook zonder vPro heb je gewoon Intel AMT in een business toestel, en dit gaat specifiek over AMT. vPro is gewoon een superset van features bovenop AMT.

[Reactie gewijzigd door DarkJack op 12 januari 2018 21:59]

Beetje oud verhaal dit. F-Secure wil even in het nieuws komen? Een iLo of DRAC met default passwords is ook gevaarlijk. En een laptop zonder encryptie nog gevaarlijker. Gewoon slecht beheer. Zie bijvoorbeeld artikel uit 2014; https://insinuator.net/20...-some-fun-with-mainboards Even lekker het moment pakken door F-Secure en iets over Intel de wereld ingooien. Doet het vast goed nu met de andere (echte) issues.

[Reactie gewijzigd door Association op 12 januari 2018 13:57]

Een iLo krijgt toch altijd een random wachtwoord? Daarom hangt er ook meestal een kaartje aan de server. Of is dit zo'n 'random' wachtwoord gebaseerd op het MAC adres, zoals men in het verleden wel eens met modems van consumenten heeft gedaan?
Inderdaad! Daarnaast moet voor iLO een extra netwerkkabel ingeplugt worden, of moet je in iLO zelf de instellingen wijzigen om gebruik te maken van de hoofdnetwerkadapter. En als je toch in iLO instellingen bent aan het wijzigen, dan hoort daar vaak ook het wachtwoord bij.

Op iLO is dit dus duidelijk niet van toepassing.
Dat ligt eraan, niet iedere iLo implementatie heeft een eigen NIC, op de duurdere servers wel, maar op de goedkopere servers is deze vaak gedeeld. Hetzelfde voor iDrac van Dell trouwens. Nu hebben de HP(E) iLo's wel een random generated password, maar deze zit vaak aan het chassis vast (als die dus niet aangepast wordt en de tag niet verwijderd....). Dell heeft trouwens wel een gewoon een default username / password.
De goedkope servers komen ook al een tijdje met ILO, kleine bakjes van een paar honderd euro hebben het tegenwoordig al. Kost alleen extra centen om langer dan trial te blijven gebruiken.
Volgens mij ook niet meer, volgens mij hebben ze ILO zelfs geschrapt van bijv. de laatste Microservers (Gen10), terwijl de voorgaande generaties wel iLo hadden.

Maar dat is niet wat ik bedoel is, wat ik bedoel is dat de goedkopere iLo implementaties een NIC delen met het systeem, in plaats van dat deze iLo een dedicated nic heeft alleen voor iLo.
Je kunt als SysAdmin ook ervoor kiezen om van iLO gebruik te maken middels een shared NIC, ondanks dat er een dedicated NIC aanwezig is. Enkel de Microserver Gen8 had standaard iLO, op de G7 was het optioneel middels een Remote Access Card.
Goed dat HP het aangepakt heeft. In de tijd dat ik server admin deed was het nog wel een default pass. Bij Dell is dat nog steeds het geval voor zover ik weet (root/calvin). De extra network kabel gaat er vaak gewoon in is mijn ervaring.
Toevallig net een R740 ge´nstalleerd. Daar zit tegenwoordig een tag op met het random gegenereerde wachtwoord.
Hoeveel desktops en laptops met iLo of DRAC ken jij?
Geen, maar dat is een zelfde soort "issue", dat is wat ik er mee aan wil geven.
Volgens mij moet je die wel specifiek aansluiten op een netwerk, voordat je erbij kan. Onze servers hebben IPMI, wat eigenlijk hetzelfde is, en die hebben een dedicated netwerkpoort daarvoor.

[Reactie gewijzigd door tiguan op 12 januari 2018 14:17]

Dat is vaak afhankelijk van het model, de (vaak duurdere) modellen met een uitgebreide iLo / iDrac/ andere IPMI implementatie hebben vaak een dedicated NIC inderdaad. Goedkopere uitvoeringen delen echter vaak de NIC, net als bij Laptops / Desktops met vPro het geval is.
Ik heb eigenlijk nog geen enkel bord met IPMI in handen gehad die geen dedicated NIC had, zelfs de goedkoopste Supermicro serverborden met IPMI optie hadden dat, en dan had je het over van die single-Xeon bordjes van rond de 150 euro.

Het lijkt me verder ook bewerkelijker en duurder om juist van die rare shared-NIC trucs uit te halen i.p.v. gewoon dat laatste stukje ook gescheiden uit te voeren (overigens kon shared ook altijd :P). Shared ben ik sowieso geen fan van, als die NIC zelf kuren krijgt gaat je out of band ook het raam uit.
Failover wil je al helemaal niet, vaak genoeg meegemaakt dat er iets misgaat bij het detecteren waar ie op moet komen en de verkeerde interface gebruikt wordt. Dat soort geintjes wil je niet als de boel plat gaat en je er nu bij moet.
Gewoon aparte interface, aparte kabel, en aparte switchport op je management VLAN, lekker voorspelbaar.

[Reactie gewijzigd door Sfynx op 12 januari 2018 18:43]

Mijn Supermicro X7SPA-HF (https://www.supermicro.nl...H9/X7SPA.cfm?typ=H&IPMI=Y) heeft twee netwerkpoorten, waarvan een gedeeld met IPMI, dus ze bestaan zeker.

Werkt prima (in een NAS bakje), maar ik zal inderdaad de IPMI-poort voor niks anders gebruiken ;-)
Bij IPMI heb je 3 opties
- Dedicated, maakt gebruik van zijn eigen poort
- Shared, maakt gebruik van de LAN poort
- Failover, default, detecteert of dedicated up is, anders failover naar LAN poort
een random attacker heeft geen fysieke toegang tot je server

een laptop daarintegen... AMT provisionen duurt minder dan een minuut als je een USB stick hebt, zeer snel gedaan, en een hotelkamer binnen raken is nu ook weer niet zo moeilijk voor degene die het echt willen.
Ik kom genoeg Dell servers tegen met root/calvin, en de DRAC "netjes" aangesloten. Dus helemaal geen fysieke toegang nodig. Nog veel gevaarlijker. Als je toegang tot een laptop hebt zijn er legio andere opties om binnen te dringen. En dan nog is het niet zo dat men even "zo" in kan loggen. Ook valt het nogal op als iemand via KVM mee aan het kijken is via AMT.
Een iLo of DRAC met default passwords is ook gevaarlijk.
Dat is natuurlijk relatief. Bij bijvoorbeeld Ilo staat het default (min of meer random) wachtwoord op een kaartje die aan het device vast zit en welke aan het device is gebonden. Er is geen default wachtwoord wat op alle devices werkt. Na ingebruikname wijzig je dat wachtwoord natuurlijk direct.

[Reactie gewijzigd door Bor op 12 januari 2018 14:42]

Na ingebruikname wijzig je dat wachtwoord natuurlijk direct.
Laat dat nu net ook het probleem hier zijn..
Een aanval op afstand waar fysieke toegang voor nodig is. Mis ik iets?
Euhm, je vergeet ÚÚn zinnetje wat belangrijk is.

Ze hebben fysiek toegang nodig om aanpassingen te doen. Daardoor kunnen ze het mogelijk maken om op afstand te werken
Vervolgens kunnen ze instellingen van de Management Engine beheren.

Zo kunnen ze beheer op afstand mogelijk maken

[Reactie gewijzigd door Kenhas op 12 januari 2018 13:54]

Nee, toegang op afstand waar de aanval zelf fysieke toegang nodig heeft.
Is het 'disabled' zetten van Intel AMT in de BIOS niet de beste optie gezien de recente problemen die steeds met AMT/vPro aan het licht komen?
Dat staat ook in het artikel om het op none te zetten.

Zou liever de IME uitzetten, maar officieel kan die niet uitgezet worden. Er zijn wel wat 'hacks' voor en volgens mij kun je (sinds kort) bij sommige modellen bij Dell aanvinken dat je IME uit wil hebben.

Dit is gewoon ook slecht van de ICT afdelingen van bedrijven zelf. Die zouden bij het uitdelen van de laptops dit moeten aanpassen(1 generiek wachtwoord voor gehele bedrijf is ook niet handig) of uitzetten.
Ik laat nooit apparatuur achter bij klant met default wachtwoorden.

[Reactie gewijzigd door kr4t0s op 12 januari 2018 14:29]

Heb je ook een link naar de bron voor het uitzetten van de IME bij Dell? Ben op zoek naar een PC waar ik dat bij uit kan zetten.
Dat kan ik:

Two Linux vendors, System76 and Purism, have already announced they’ll disable IME going forward, but neither is a top-tier manufacturer. Dell, on the other hand, commands a significant percentage of the PC market, and it’s offering three systems without IME enabled: the Dell Latitude 14 Rugged, the Latitude 15 E5570, and the Latitude 12 Rugged Tablet.

https://www.extremetech.c...anagement-engine-disabled
Ja, ik zie het in het artikel :) Helaas als ik doorklik op de 14 rugged en de 12 dan is de optie verdwenen. De E5570 lijkt opgevolgd door de E5580, welke een andere processor heeft en de optie helemaal niet biedt. Net te laat :(
Even met Dell chatten of bellen wellicht hebben ze nog andere modellen of die binnenkort uitkomen.
dus beter om AMT in BIOS, UIT te zetten dan AAN te zetten?
Heel veel zakelijke modellen verbergen de configuratie van MEBx en deactiveren de hotkey. Moet je expliciet aanzetten in de meeste UEFI.

Standaard wachtwoord is kwalijk maar ik vermoed dat dit vrij weinig impact heeft. Lijkt meer op dat F-Secure op de AMT-bashwagon van 2017 wil springen...
Dat is meer een demo van amt dan iets anders. Zoals andere comments aangeven.. Remote management systeem met een onveranderd beheer wachtwoord.. Wat een lek!
Oftewel, als je even gaat lunchen kan dus je collega of je bezoek de intel amt aanzetten, wachtwoord erop zetten en dus zo op de een of andere manier je laptop daarna overnemen. ( moet die natuurlijk wel weten wat voor een Ip adres je hebt of je hostname weten en in hetzelfde lan zitten.)

[Reactie gewijzigd door Deepdream op 12 januari 2018 14:02]

Access to the device may also be possible from outside the local network via an attacker-operated CIRA server.
https://www.bleepingcompu...-and-bitlocker-passwords/
Standaard wachtwoord is kwalijk maar ik vermoed dat dit vrij weinig impact heeft.
Weet je hoe grote hacks beginnen? Met dit soort gedachten. ;)
Geld dit niet voor alles wat geleverd word met een default password?
Hoeveel modems worden er wel niet geleverd met admin/admin voor login?

Hoe vaak ik wel niet collega's er op moet wijzen om geen default usernames/passwords achter te laten op systeemtoepassingen (met name die richting klanten gaan)
Meeste kan je terugvinden op de eerste pagina van google "MerkX typeY username password"
Dit is meer alsof er twee default passwords zijn, een makkelijk zichtbaar en een tweede waarvoor je de handleiding moet lezen om hem te vinden. En waar de tweede niet instellen de eerste nutteloos maakt.
F-Secure hobbelt zoals gewoonlijk weer eens achter de feiten aan, en probeert nu met een of ander slap verhaal nog een graantje mee te pikken van het hele Meltdown/Spectre verhaal? Beetje zielig...
Totale onzin reactie. Het punt waarvoor F-secure waarschuwt heeft geen relatie met Meltdown / Spectre. Of ben je van mening dat door Meltdown en Spectre alle andere security risico's ineens overbodig zijn om te vermelden? Intel AMT is al vaker in het nieuws geweest vanwege kwetsbaarheden overigens: http://www.zdnet.com/arti...ngine-affecting-millions/
Heeft er niks mee te maken an sich, maar Intel is nu veel negatief in het nieuws en het is toch anders wel heel toevallig. Gaat F-Secure nu elke week waarschuwen voor dit soort gevaren? Dus totaal onzin reactie is het niet.
Het probleem is - dat er overal veel te veel spulletjes in zitten die je gewoon niet kan uitschakelen. Tot het mis gaat. Zet het uit - tot iemand het wil aanzetten - dat is de beste beveiliging. Opt-in ipv. opt-out - opt-out zou standaard voor alles door de wetgever verboden moeten zijn (en dat geldt echt voor alles mijns inziens).

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True