Sécurité : un chercheur dévoile un autre souci avec le module AMT
Un composant du très controversé moteur d'administration Intel
Le 2018-01-13 10:51:10, par Patrick Ruiz, Chroniqueur Actualités
Intel a déjà fort à faire avec les migraines causées par la gestion de l’apocalypse numérique « Meltdown et Spectre ». Comme si cela n’était pas assez, un chercheur en sécurité surgit en ce début d’année avec une révélation qui concerne l’Active management Technology (AMT), un composant du très controversé moteur d’administration Intel. D’après Harry Sintonen de la firme de sécurité F-Secure, un attaquant qui dispose d’un bref accès à un poste de travail peut s’ouvrir la voie à son contrôle à distance en exploitant une brèche.
Rien de nouveau sous le soleil lorsqu’on parle de failles liées à l’AMT, une technologie qu’Intel a dédiée aux administrateurs système pour la réalisation à distance de tâches effectuées quotidiennement sur site : éteindre ou démarrer une station de travail, capturer des données sur le réseau, suivre les périphériques d’entrée et de sortie comme le clavier, le micro, la webcam ou encore enregistrer les frappes sur le clavier. En mai 2017 en effet, Intel a colmaté une faille au sein de son micrologiciel. En substance, un cybercriminel pouvait détourner ces fonctionnalités à son avantage au travers des ports TCP 16992 ou 16993 d’un PC d’entreprise ou d’un serveur muni de la technologie AMT.
Avec la nouvelle publication d’Harry Sintonen basée sur une découverte qui remonte à juillet 2017, on fait simplement dans la continuité en ce qui concerne l’obscur moteur d’administration Intel et ses nombreuses failles. Tout le problème tourne autour de la question : l’AMT est-il activé sur un système ? Dans le cas des parcs d’ordinateurs d’entreprise, la réponse est claire ; un attaquant ayant un bref accès physique à un des postes pourra se frotter les mains par la suite. D’après ce que rapporte le chercheur en effet, il suffit d’un redémarrage de l’ordinateur cible puis d’un accès aux paramètres BIOS de configuration de l’AMT. Là, avec le mot de passe défini par défaut sur « admin » en sa possession, l’attaquant peut configurer un accès à distance, empêcher l’affichage de l’interface d’accès aux paramètres BIOS du moteur d’administration (MEBx) et modifier le mot de passe par défaut.
Avis donc aux gestionnaires de parcs informatiques qui feront face à des machines avec un mot de passe MEBx dont ils n’ont pas la connaissance. Référence faite au guide d’utilisation de la technologie AMT, Intel renvoie la balle aux fabricants d’ordinateurs. D’après la firme, c’est à ces derniers de protéger l’accès à l’interface MEBx à l’aide du mot de passe BIOS. Selon F-Secure cependant, la plupart des machines passées au test ne se conforment pas à cette recommandation du fondeur.
Sources
F-Secure
Guide d’utilisation de l’AMT par Intel
Votre opinion
Voir aussi
Rien de nouveau sous le soleil lorsqu’on parle de failles liées à l’AMT, une technologie qu’Intel a dédiée aux administrateurs système pour la réalisation à distance de tâches effectuées quotidiennement sur site : éteindre ou démarrer une station de travail, capturer des données sur le réseau, suivre les périphériques d’entrée et de sortie comme le clavier, le micro, la webcam ou encore enregistrer les frappes sur le clavier. En mai 2017 en effet, Intel a colmaté une faille au sein de son micrologiciel. En substance, un cybercriminel pouvait détourner ces fonctionnalités à son avantage au travers des ports TCP 16992 ou 16993 d’un PC d’entreprise ou d’un serveur muni de la technologie AMT.
Avec la nouvelle publication d’Harry Sintonen basée sur une découverte qui remonte à juillet 2017, on fait simplement dans la continuité en ce qui concerne l’obscur moteur d’administration Intel et ses nombreuses failles. Tout le problème tourne autour de la question : l’AMT est-il activé sur un système ? Dans le cas des parcs d’ordinateurs d’entreprise, la réponse est claire ; un attaquant ayant un bref accès physique à un des postes pourra se frotter les mains par la suite. D’après ce que rapporte le chercheur en effet, il suffit d’un redémarrage de l’ordinateur cible puis d’un accès aux paramètres BIOS de configuration de l’AMT. Là, avec le mot de passe défini par défaut sur « admin » en sa possession, l’attaquant peut configurer un accès à distance, empêcher l’affichage de l’interface d’accès aux paramètres BIOS du moteur d’administration (MEBx) et modifier le mot de passe par défaut.
Avis donc aux gestionnaires de parcs informatiques qui feront face à des machines avec un mot de passe MEBx dont ils n’ont pas la connaissance. Référence faite au guide d’utilisation de la technologie AMT, Intel renvoie la balle aux fabricants d’ordinateurs. D’après la firme, c’est à ces derniers de protéger l’accès à l’interface MEBx à l’aide du mot de passe BIOS. Selon F-Secure cependant, la plupart des machines passées au test ne se conforment pas à cette recommandation du fondeur.
Sources
F-Secure
Guide d’utilisation de l’AMT par Intel
Votre opinion
Voir aussi
-
abriotdeMembre chevronnéArrête tu ne connais rien au milieu. Les failles sont l'arme n°1 des hacker et il en faut tout une collection mais ce n'est pas la seul. L'avantage d'une faille c'est qu'une fois en place elle s'automatise, son inconvénient c'est qu'elle peux être difficile à mettre en place. Alors, le hacker exploite toujours la failles humaine quand c'est possible, c'est ce qu'on appel le social engineering, cela lui sert le plus souvent de porte d'entrée mais c'est tout.Les hackers n'ont pas besoin des failles Intel depuis des décenies
La meilleure preuve de l'intérêt d'une faille est le prix auquel elles se vendent sur le marché noir (ou même sur le marché des BugBounty)... bien plus cher que des numéros de carte bleu. Avec on en fait des logiciels de hacking et d'espionnage qui valent des millions et que tu peux louer pour pas cher.
Par contre une failles complexe est rarement utiliser rapidement, on lui préfère les failles simple plus courante. Mais dans quelques années une fois bien maîtrisé il est fort probable que les failles du hardware/microcode se développeront.le 15/01/2018 à 14:06 -
AndMaxMembre éprouvéTant que ce système ne sera pas libre, alors ce ne sera pas sous le contrôle des utilisateurs mais de tiers (et donc aussi de toutes les mafias du monde). Ce sera donc au mieux lent et difficile ou au pire impossible d'obtenir des correctifs (la porte dérobée de l'année dernière n'est toujours pas corrigée sur de nombreuses cartes mères)... Intel continue de se moquer de ses clients.le 13/01/2018 à 18:05
-
tao2008Nouveau Candidat au ClubBonjour et merci pour votre commentaire. Je suis simple particulier et j'aimerais savoir comment modifier sur mes PC fixe et portable ce fameux mot de passe AMT. J'ai vu quelques pratiques sur le net mais je préférerai l'avis d'un expert afin de m'assurer de bien faire. Merci et bonne Journée. Noëlle 14/01/2018 à 11:48
-
piGrimmNouveau Candidat au ClubLes hackers n'ont pas besoin des failles intel depuis des décenies. Colmatées ou pas. Ce genre d'articles à la gomme doit filer des hernies aux pirates à force de rigoler.
Entre les chefs de service qui planquent leurs mots de passe dans un tiroir a côté, ou dans la doc technique sous blister, pour ne pas les oublier... entre les employés idiots qui installent des petites distractions infestées de "remote utilities" transparentes... entre les gneugneux qui partent en maladie en refilant leurs acces plénières au 1er interimaire qui passe et qui les revend en "prime"...
Bref ce genre d'articles sur des failles qui n'auront jamais lieu d'être exploitées, fait rigoler sous les bras et franchement perdre son temps aux vrais pros.
Ce genre d'article relève du mental humain qui aime se faire peur avec des histoires avant le dodo, c'est psychosomatique depuis bien avant le moyen age comme principe => avant on avait les fables, puis les lègendes urbaines et les marvel usa, la phase logique suivante est les micro-histoires virtuahorrifiquesle 14/01/2018 à 14:37