Cette fois-ci, ce n’est pas la faute d’Intel mais des utilisateurs. F-Secure a mis le doigt sur un très fréquent défaut de sécurisation de Management Engine BIOS Extension, permettant à un attaquant d’utiliser AMT pour prendre le contrôle d’une machine. Tout ça parce que le mot de passe par défaut du MEBx n’a pas été modifié.
Ceci n’est pas une vulnérabilité mais reste un problème de sécurité inquiétant. On sait le Management Engine d’Intel particulièrement « poreux » : le fondeur a dû patcher par trois fois l’an dernier ce système permettant des fonctions d’administration des appareils, notamment le contrôle à distance par le biais de sa solution Active Management Technology.
Un chercheur de F-Secure a mis le doigt sur une méthode d’attaque particulièrement facile à employer, quoiqu’elle nécessite un accès physique à l’ordinateur. Elle permet de configurer AMT de sorte à ce que l’attaquant puisse ensuite prendre le contrôle total de l’appareil en une poignée de seconde. Et ce simplement grâce à un défaut de sécurisation du Management Engine.
L’attaquant doit tout simplement, lors du démarrage de l’appareil, accéder à Management Engine BIOS Extension (MEBx) en utilisant le mot de passe par défaut à la sortie d’usine « admin ». Celle-ci n’est pas, la plupart du temps, personnalisée, précise F-Secure, qui explique avoir observé à de nombreuses reprises ce défaut de sécurisation sans donner de chiffre exact.
L’attaquant « modifie ensuite le mot de passe, active l'accès à distance et définit l'option d'entrée de l'utilisateur AMT sur "Aucun". Il est alors en mesure d’accéder au système, à distance, à partir de réseaux sans fil ou câblés ». Et par ricochet accéder à l’infrastructure de l’entreprise.
Le manque de sécurisation en cause
Peu importe le niveau de sécurité de la machine : VPN, anti-virus, firewall n’y changeront rien. « La définition d’un mot de passe BIOS empêche en principe un utilisateur non-autorisé de démarrer le périphérique ou d'y apporter des modifications… mais un accès non-autorisé au BIOS AMT reste possible » note la société. Evidemment, il faut pour l’attaquant se ménager un accès physique mais, sans aller jusqu’à l’effraction au domicile de la victime, un instant d’absence dans le train ou au café du coin peut suffire.
Harry Sintonen, le chercheur de F-Secure, a découvert le problème en juillet 2017. Ses découvertes sont maintenant publiquement révélées car « il est essentiel que les entreprises et les administrations soient informées du problème afin de pouvoir corriger cette faille » explique-t-il. Seule solution pour les SI d’une entreprise, inclure dans la procédure de provisionnement du système la définition d’un mot de passe fort, voire la désactivation complète d’AMT si possible (et si la solution de prise en main à distance n’est pas nécessaire).