Lỗi bảo mật Intel AMT mới cho phép hacker chiếm toàn quyền laptop chỉ trong 30 giây

Lại một tin không mấy vui vẻ cho người dùng máy tính khi các chuyên gia bảo mật vừa đưa cảnh báo về một cuộc tấn công mới có thể chiếm quyền kiểm soát laptop với thời gian kỷ lục chỉ chưa đầy 30 giây và ảnh hưởng đến hàng triệu laptop trên toàn cầu.

Mới đây Intel vừa phát hành bản vá cho lỗ hổng nguy hiểm Meltdown và Spectre, các chuyên gia bảo mật lại phát hiện tiếp một lỗ hổng bảo mật hết sức nghiêm trọng trong phần cứng của Intel cho phép hacker truy cập laptop từ xa.

Công ty bảo mật an ninh mạng F-Secure từ Phần Lan đã báo cáo về hoạt động mặc định của Intel Active Management Technology (AMT) không an toàn và hoạt động sai hướng, có thể cho phép kẻ tấn công bỏ qua quá trình đăng nhập và kiểm soát hoàn toàn thiết bị của nạn nhân trong vòng chưa đầy 30 giây.

AMT là một tính năng đi kèm với các chipset dựa trên nền tảng Intel nhằm nâng cao khả năng của quảng trị viên  IT cũng như các nhà cung cấp dịch vụ quản lý để kiểm soát đội ngũ thiết bị tốt hơn, cho phép họ quản lý, sửa chữa từ xa máy tính cá nhân, các máy con và máy chủ trong hệ thống tổ chức của họ.

Lỗi này cho phép bất kỳ ai có quyền truy cập vật lý vào laptop bị lỗi có thể bỏ qua bước đăng nhập cần thiết, bao gồm username, mật khẩu BIOS và BitLocker và mã pin TPM, cho phép quản trị từ xa để khai thác máy tính sau này.

Thường thì việc thiết lập một mật khẩu BIOS sẽ ngăn ngừa kẻ lạ khởi động thiết bị trái phép hoặc thay đổi quá trình khởi động. Nhưng đây không phải là điều đáng nói. Mật khẩu không thể ngăn chặn truy cập trái phép vào phần mở rộng AMT BIOS, do đó kẻ tấn công có thể truy cập vào để cấu hình AMT và khai thác từ xa khi có thể.

Mặc dù các chuyên gia đã phát hiện ra một số lỗ hổng AMT nghiêm trọng trong quá khứ nhưng vấn đề được phát hiện gần đây khá là nghiêm trọng và cần được chú ý đặc biệt, bởi nó dễ bị khai thác mà không có một dòng mã duy nhất, ảnh hưởng đến hầu hết các laptop có trang bị chip của Intel và có thể cho phép kẻ tấn công truy cập từ xa vào hệ thống điều hành bị ảnh hưởng bởi lỗ hổng.

Harry Sintonen, chuyên gia nghiên cứu bảo mật cấp cao của F-Secure, cũng là người phát hiện ra vấn đề này vào tháng 7 năm ngoái đã nhận định : “Vụ tấn công đơn giản đến không ngờ nhưng lại có tiềm năng phá hoại đáng kinh ngạc”. Trên thực tế thì lỗi này có thể cho phép kẻ tấn công hoàn toàn kiểm soát máy tính xách tay của một cá nhân nào đó mặc dù đã trang bị những biện pháp an ninh tối tân nhất.

Theo các nhà nghiên cứu, lỗi mới được phát hiện không có liên quan với hai lỗ hổng lớn Spectre và Meltdown vừa phát hiện gần đây trong bộ vi xử lý trên hầu hết các máy tính xách tay, điện thoại thông minh và máy tính bảng hiện nay.

Để khai thác lỗ hổng này, tất cả những gì kẻ tấn công cần là quyền truy cập vật lý vào máy tính được bảo vệ bằng mật khẩu BIOS, hắn chỉ cần phải khởi động lại hoặc kích hoạt máy tính mục tiêu và nhấn Ctrl+P trong quá trình khởi động.

Hãy xem video sau để hiểu hơn về cách thực hiện.

Kẻ tấn công sau đó có thể đăng nhập vào  Intel Management Engine BIOS Extension (MEBx) với mật khẩu mặc định. Ở đây, mật khẩu mặc định cho MEBx là “admin” và hầu như không được thay đổi trên hầu hết các máy tính xách tay của công ty.

Sau khi đăng nhập, kẻ tấn công có thể thay đổi mật khẩu mặc định và cho phép truy cập từ xa, thậm chí là đặt thiết lập cho người dùng AMT là None.

Bây giờ, sau khi kẻ tấn công đã xâm nhập máy tính thành công, hắn có thể truy cập hệ thống từ xa bằng cách kết nối với cùng một mạng không dây của nạn nhân.

Mặc dù việc khai thác lỗi này cần phải truy cập vật lý vào thiết bị, nhưng Sintonen giải thích rằng với tốc độ và thời gian mà nó có thể thực hiện làm cho lỗi dễ bị khai thác, thêm vào đó, chỉ một phút mà nạn nhân rời khỏi máy tính cũng đủ cho kẻ tấn công thực hiện hack máy thành công.

Sintonen nói rằng những kẻ tấn công đã xác định và định vị mục tiêu mà hắn muốn khai thác. Hắn sẽ tiếp cận nạn nhân ở những nơi công cộng như sân bay, quán cà phê, sảnh khách sạn và tham gia vào một kịch bản làm cho nạn nhân phân tâm khỏi máy tính của họ.

F-Cure đã nhanh chóng thông báo cho Intel và tất cả các nhà sản xuất thiết bị cũng như trung tâm điều phối CERT tại Mỹ về vấn đề bảo mật này và kêu gọi họ khẩn trương giải quyết vấn đề.

Trong khi đó người dùng cũng như các quản trị viên IT của tổ chức cũng nên thay đổi mật khẩu AMT mặc định của thiết bị thành các mật khẩu mạnh hoặc vô hiệu hóa AMT nếu có tùy chọn này. Bên cạnh đó, tuyệt đối không để máy tính xách tay hoặc máy tính cá nhân ở nơi công cộng khi không thể giám sát chặt chẽ.

Xuân Dung