Un fallo en Intel AMT permite el acceder a computadoras en remoto y sin restricciones

por Eduardo Medina

Investigadores F-Secure han descubierto un fallo de seguridad en Intel AMT que permite a un atacante saltarse los accesos en las computadoras que lo implementen, pudiendo así acceder de forma remota a dichos ordenadores.

El fallo de seguridad se trata de una técnica que puede ser llevada a cabo en menos de un minuto, sin embargo, hasta ahora se sabe que requiere de acceso físico a la computadora para explotarlo, además de comprobar que el objetivo no tenga configurado el sistema para proteger la cuenta de Management Engine BIOS Extension (MEBx) en ordenadores Intel que soportan la tecnología Active Management Technology (AMT).

AMT es una característica de mantenimiento remoto incluido en los ordenadores Intel que soportan vPro y la familia Xeon, mientras que MEBx es una extensión de la BIOS que permite la configuración manual del servicio AMT. MEBx se encuentra configurada correctamente cuando está protegida por una contraseña, pero aquellos que no la hayan configurado utilizan la que está por defecto: admin. “Mediante la selección de Management Engine BIOS Extension (MEBx) de Intel, se puede acceder utilizando la contraseña por defecto, admin, que generalmente no es cambiada por el usuario. Mediante el cambio de la contraseña por defecto, la habilitación del acceso remoto y la configuración del usuario de AMT a None (ninguno), un ciberdelincuente habilidoso podría comprometer un ordenador.”

Realizando lo descrito en el párrafo anterior, un atacante puede acceder más tarde de forma remota a la computadora objetivo, pero esto tiene un requisito adicional, y es que tanto atacante como víctima deben de estar en el mismo segmento de red, como por ejemplo la misma red Wi-Fi. Al menos que la red Wi-Fi no esté protegida, el proceso de ataque requerirá de algunos pasos extra, lo que obviamente limita el alcance y la peligrosidad del fallo de seguridad y además fuerza la necesidad de tener un equipo de dos personas para explotarlo rápidamente, con una encargada de la red Wi-Fi y otra de la computadora objetivo. Pero por otro lado, no se puede descartar que el ataque sea llevado a cabo por empleados deshonestos.

Intel ha comentado que no puede hacer nada ante este problema, ya que su origen está en que “algunos fabricantes no han configurado sus sistemas para proteger Intel MEBx”. Sin embargo, según la compañía Plixer, parece que esto se puede arreglar mediante una actualización del firmware de la BIOS que evite la elusión de los protocolos normales de la BIOS, además de cambiar la contraseña por defecto y analizar el tráfico de red para las conexiones mediante los puertos de Intel ATM. Por su parte, F-Secure propone seguir las mejores prácticas de Intel en torno la característica AMT o bien inhabilitarla completamente.

Parece que a Intel se le acumulan los problemas, ya que desde principios de año está luchando contra los vectores de ataque Meltdown y Spectre, a veces no con todos los buenos resultados que le gustaría. Por otro lado, el pasado mes de noviembre se descubrió una vulnerabilidad en el firmware de sus procesadores.