Vaya inicio de 2018, si no teníamos suficiente con las vulnerabilidades de Spectre y Meltdown que afectan de forma directa a la arquitectura de la compañía, ahora esta ha anunciado que su Tecnología de Gestión Activa (Intel AMT) cuenta con una brecha de seguridad que permite a los atacantes omitir las credenciales de inicio de sesión con los procesadores Intel compatibles con la misma (procesadores Intel Core con tecnología Intel vPro y determinados Intel Xeon).Por suerte, el acceso a esta vulnerabilidad se debe hacer de forma física, aunque con 1 minuto de tiempo ya es suficiente para poder controlar el equipo portátil de forma remota e incluso conectarse a la VPN de su compañía y acceder a sus recursos. Tocará esperar que Intel se pronuncie para dar a conocer cuando estará disponible una solución al problema.Nota de Prensa vulnerabilidad Intel AMTF-Secure informa un problema de seguridad que afecta a la mayoría de los ordenadores portátiles corporativos. Esta vulnerabilidad permite a un atacante con acceso físico a la puerta trasera del dispositivo acceder al mismo en menos de 30 segundos. El problema permite al atacante eludir la necesidad de ingresar credenciales, incluidas las contraseñas BIOS y Bitlocker y los pines TPM, pudiendo luego obtener acceso remoto para su posterior explotación. Este problema afecta a millones de ordenadores portátiles en todo el mundo.El problema de seguridad “es casi engañosamente simple de explotar, pero tiene un increíble potencial destructivo“, dijo Harry Sintonen, quien investigó el tema en su papel de Consultor Senior de Seguridad en F-Secure. “En la práctica, puede dar a un atacante el control total sobre el portátil de trabajo de una persona, a pesar de que incluso las medidas de seguridad más amplias“.Intel AMT es una solución para el monitoreo y mantenimiento de acceso remoto de ordenadores personales de nivel corporativo, creado para permitir que los departamentos de TI o los proveedores de servicios administrados controlen mejor las flotas de sus dispositivos. La tecnología, que se encuentra comúnmente en los equipos portátiles corporativos, se puede explotar en cuestión de segundos sin una sola línea de código.La esencia del problema de seguridad es que la configuración de una contraseña del BIOS, que normalmente impide que un usuario no autorizado inicie el dispositivo o realice cambios de bajo nivel, no impide el acceso no autorizado a la extensión AMT BIOS. Esto permite que un atacante tenga acceso para configurar AMT y hacer posible la explotación remota.Para explotar esto, todo lo que un atacante debe hacer es reiniciar o encender la máquina de destino y presionar CTRL-P durante el arranque. Luego, el atacante puede iniciar sesión en Intel Management Engine BIOS Extension (MEBx) usando la contraseña predeterminada, “admin“, ya que es muy probable que este valor predeterminado no se haya modificado en la mayoría de los equipos portátiles corporativos. El atacante puede cambiar la contraseña predeterminada, habilitar el acceso remoto y configurar la opción de usuario de AMT a “Ninguna”. El atacante ahora puede obtener acceso remoto al sistema desde redes inalámbricas y por cable, siempre que puedan insertarse en el mismo segmento de red con la víctima. El acceso al dispositivo también puede ser posible desde fuera de la red local a través de un servidor CIRA controlado por un atacante.Aunque el ataque inicial requiere acceso físico, Sintonen explicó que la velocidad con la que se puede llevar a cabo hace que sea fácilmente explotable en el supuesto “malvado”. “Dejas tu ordenador portátil en la habitación de tu hotel mientras tomas una copa. El atacante irrumpe en tu habitación y configura tu ordenador portátil en menos de un minuto, y ahora puede acceder a tu ordenador con la conexión a Internet del Hotel. Y como el ordenador se conecta a la VPN de su compañía, el atacante puede acceder a los recursos de la compañía“. Sintonen señala que incluso un minuto de distracción al objetivo en un aeropuerto o cafetería es suficiente para causar el daño.El problema afecta a todos los ordenadores que admitan la tecnología Intel Management Engine / Intel AMT. No está relacionado con las vulnerabilidades recientemente reveladas de Spectre y Meltdown.