Powered By Blogger

Rechercher sur ce blogue

lundi 5 février 2018

Intel : Nouvelles inquiétudes sur la sécurité des modules AMT d'Intel

Faille dans AMT : nouvelles inquiétudes sur la sécurité des modules Intel

Sécurité : Une nouvelle vulnérabilité affectant les processeurs Intel a été découverte la semaine dernière par les chercheurs de la société F-Secure. Celle-ci affecte plus spécifiquement les modules Active Management Technology et permet à un attaquant de prendre le contrôle de la machine.

Spectre et Meltdown ont attiré beaucoup d’attention sur les processeurs Intel en début de mois. Mais le fondeur ne semble pas encore tiré d’affaire : vendredi, la société F-Secure publiait ainsi un rapport détaillant une nouvelle vulnérabilité présente au sein des processeurs Intel et plus particulièrement au sein des modules AMT embarqués par certains modèles de processeurs.

Les modules AMT d’Intel ont retenu l’attention de nombreux chercheurs en sécurité au cours des dernières années. En effet, ces modules installés par Intel sur certains processeurs constituent un motif d’inquiétude pour certains administrateurs. AMT est un module utilisé pour la prise de contrôle à distance de machines Intel. Celui-ci embarque plusieurs logiciels et outils, tels que des fonctions de connexion au réseau, d’accès à la mémoire de la machine ou des différents équipements branchés, et peut permettre d’accéder à la machine en contournant les mots de passe mis en place au niveau du Bios ou de l’OS, AMT étant accessible au démarrage de la machine.
C’est sur ce principe que se base la vulnérabilité découverte par F-Secure : AMT dispose d’un mot de passe par défaut, qui peut permettre à un attaquant disposant d’un accès physique à la machine d’accéder à AMT et de mettre en place une porte dérobée sur la machine ; il ne s’agit pas d’une faille issue d’un bug, comme c’était le cas pour Meltdown et Spectre, mais d’un problème de configuration du module. Comme l’explique F-Secure, les modules AMT sont généralement laissés avec le mot de passe par défaut « admin » qui est rarement modifié par l’utilisateur.

Intel dans le viseur des chercheurs

« En changeant le mot de passe par défaut, en autorisant l’accès à distance et en configurant l’accès à distance AMT pour ne pas demander l’autorisation de l’utilisateur, un cybercriminel peut compromettre la machine », expliquent les chercheurs de F-Secure. La technique nécessite néanmoins d’avoir un accès physique à la machine, mais une utilisation détournée de l’outil d’Intel peut permettre à un attaquant de mettre en place une porte dérobée sur la machine de la cible. Du fait de son utilisation principale, la prise de contrôle à distance à des fins d’administration, AMT embarque toutes les fonctionnalités logicielles nécessaires pour faire office de porte dérobée sur la machine cible. Une fois la configuration mise en place, l’attaquant pourra profiter de cet accès dérobé afin d’espionner l’activité de l’utilisateur sur la machine à partir d’un ordinateur connecté sur le réseau local ou à distance.
Difficile donc de comparer directement ce problème aux failles Meltdown et Spectre, qui relèvent d’un comportement non désiré. Ici, AMT fonctionne comme prévu par Intel. Le défaut provient d’un souci de configuration et de connaissance de ce module, dont les mots de passe par défaut ne sont pas changés par les constructeurs et administrateurs. Intel ne s’y trompe d’ailleurs pas : interrogés par Zdnet.com le porte-parole d'Intel déclare « Nous remercions la communauté des chercheurs en sécurité d’avoir remis en avant le fait que certains constructeurs n’ont pas configuré leurs systèmes afin de protéger correctement le module AMT. » Le constructeur en profite pour indiquer qu’un guide de configuration est disponible pour ceux qui souhaiteraient s’assurer que le module AMT présent sur leur machine n’est pas accessible pour un attaquant. Meilleure méthode pour parer une éventuelle attaque de ce type : changer le mot de passe par défaut du module AMT. Et garder un œil sur les accès physiques aux machines susceptibles d’être visées.

REF.:

Aucun commentaire: