Nueva vulnerabilidad de Intel puede permitir control remoto a través de AMT

Llevamos un mes movido en asuntos de seguridad informática, seguro que ya estás al tanto de las recientes vulnerabilidades masivas en CPUs de Intel, AMD y ARM (los mayores fabricantes mundiales de procesadores), conocida como Meltdown y Spectre, siendo 3 vulnerabilidades diferentes en total. La gran mayoría de procesadores Intel de los últimos 20 años estarían afectados: tablets, portátiles, pc, móviles. Ahora se presenta un nuevo problema con la tecnología AMT de Intel.

Nueva vulnerabilidad de Intel puede permitir control remoto a través de AMT

Vulnerabilidad permite control remoto de equipos Intel con AMT

Ahora nos hemos enterado de que un experto ha destapado una nueva vulnerabilidad en AMT, un sistema de gestión remota para procesadores vPro de Intel que se usa comúnmente en empresas.

Este ataque podría permitir a un atacante el control completo del equipo sin necesidad de aplicar herramientas ni grandes conocimientos, simplemente aprovechando un fallo de diseño de la aplicación y la dejadez de algunos sysadmin.

Este problema de seguridad lleva siendo investigado desde Julio de 2017, pero ha sido publicado al mundo el pasado 12 de Enero.

¿Qué es Evil Maid y como afecta a procesadores Intel?

Se ha bautizado este nuevo problema como ataque “Evil Maid” y permitiría a cualquiera que coincida con nosotros en un espacio común manipular nuestro equipo en tan solo unos segundos para, posteriormente, acceder a él mediante una red remota y controlarlo con libertad.

¿Qué es Active Management Technology?

Se trata de una tecnología de gestión remota que usan los administradores de sistemas para prestar soporte a equipos basados en Intel. Una de sus peculiaridades es que permite el control remoto del ratón y teclado incluso estando apagado el equipo.

El ataque no sería nada sofisticado y bastaría con aprovechar la cercanía a la máquina objetivo (por ejemplo en una cafetería, aeropuerto y espacios abiertos similares) distraernos y realizar las siguientes acciones:

  1. Apagar el equipo
  2. Encenderlo y activar la característica AMT (Intel Active Management Technology) mediante el empleo de la clave predefinida que es “admin”.
  3. Conectarse de forma remota al equipo y establecer su propia contraseña para AMT, habilitar acceso remoto y deshabilitar la característica de control de “usuario”.

Obviamente el ataque no es crítico a priori, porque requiere de interacción física con el equipo objetivo, pero basta con menos de un minuto frente al equipo y si estamos distraídos o dejamos el portátil en una habitación de hotel, por ejemplo, sería fácil de implementar.

Protección frente a Evil Maid

Lo primero es comprobar si nuestro equipo en cuestión tiene habilitado AMT. Normalmente solo equipos con Intel vPro, Intel Centrino y Core2 lo pueden tener habilitado. Si el equipo tiene una pegatina como las siguientes podría estar afectado:

Protección frente a Evil Maid

Ahora, obviamente debemos tener mucho cuidado con abandonar el equipo en cualquier circunstancia, dejándolo visible. Por supuesto también ayudaría el hecho de establecer una contraseña de administrador en la BIOS del equipo.

También es posible desactivar AMT totalmente así como seguir pautas de Intel para proteger AMT, pero hay que tener en cuenta que en empresas con muchos equipos de este tipo esto conllevará un trabajo importante, pues no se puede realizar de forma remota.

Finalmente, todo esto se podría impedir si los administradores de turno cambiaran las credenciales por defecto para la administración de AMT (recordemos, es admin), algo que no se hace normalmente.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.