A F-Secure, empresa finlandesa que desenvolve soluções de segurança cibernética, divulgou um estudo sobre um problema de segurança que afeta a maioria dos laptops corporativos com chips da Intel. Segundo o relatório, publicado na última sexta-feira (12), a falha permite que alguém com acesso físico ao computador entre sem precisar inserir senhas, incluindo a da BIOS, do Bitlocker e o código PIN do TPM.
Todo o processo pode demorar menos de 30 segundos. Uma vez realizado, o invasor ainda consegue habilitar o sistema para explorá-lo posteriormente, de forma remota. O erro está localizado na Tecnologia de Gerenciamento Ativo da Intel, conhecida pelo nome em inglês Active Management Technology (AMT). De acordo com a F-Secure, o problema afeta potencialmente milhões de notebooks no mundo.
O Intel AMT é uma solução para monitoramento de acesso remoto e manutenção de computadores corporativos. Sua proposta é permitir que departamentos de TI ou provedores de serviços gerenciados melhorem o controle dos seus dispositivos. Assim, se um notebook de uma empresa apresenta problemas, por exemplo, o setor de tecnologia consegue resolver mesmo que o aparelho esteja na casa do funcionário.
A nova falha descoberta pela F-Secure tem a ver com o acesso à BIOS nos computadores com esse sistema. Neles, a configuração de uma senha para a BIOS não impede que um usuário não autorizado acesse a extensão AMT BIOS. Isso permite ao invasor não apenas inicializar o dispositivo e fazer alterações de baixo nível, como também entrar na configuração do AMT e tornar a exploração remota possível.
Invasão extremamente simples
A simplicidade em explorar esta deficiência é o que a torna mais perigosa do que outras já confirmadas envolvendo o AMT, na opinião dos especialistas por trás do relatório. Com acesso físico à máquina, uma pessoa é capaz de alterar as configurações em poucos segundos, sem usar nenhuma linha de código.
O hacker precisa apenas pressionar um comando simples durante a inicialização do sistema para acessar o Intel Management Engine BIOS Extension (MEBx). Depois disso, basta inserir a senha padrão "admin", inalterada na maioria dos notebooks corporativos, para habilitar o acesso remoto e realizar outras mudanças.
"Na prática, (a falha) pode dar ao invasor controle total sobre o laptop de trabalho de um indivíduo, a despeito das mais extensas medidas de segurança", afirma Harry Sintonen, consultor sênior de segurança na F-Secure.
Meu computador está em risco?
A vulnerabilidade afeta apenas computadores corporativos. Notebooks e PCs com firmware de consumo, voltado para o cliente final, não contam com o Intel vPro, a plataforma na qual a tecnologia ATM está inserida.
O símbolo do vPro vem estampado na etiqueta junto ao notebook. Em todo caso, se você comprou sua máquina em uma loja, está livre desta falha em específico.
Como se proteger contra o erro
Se você está entre as milhões de pessoas que usam um computador com Intel vPro, é preciso tomar algumas medidas para se proteger do erro. A mais importante delas é mudar a senha da extensão ao AMT, o que deve ser feito pelo setor de TI da empresa onde você trabalha.
Também é fundamental não deixar seu notebook sozinho, principalmente em lugares públicos. Um minuto distraído no saguão do aeroporto pode ser o suficiente para que alguém invada o computador e mude as configurações.
Resposta da Intel
Em comunicado oficial, a Intel agradeceu à comunidade de segurança pelo alerta de que as fabricantes não configuraram seus sistemas para proteger o MEBx, contrariando recomendações dadas desde 2015 e atualizadas em novembro de 2017. Entre os tópicos do documento, a desenvolvedora orienta aos fornecedor
... es a exigirem a senha BIOS para só então prover o Intel AMT, o que impediria usuários não autorizados de acessar a extensão com o login "admin".
A empresa do Vale do Silício relatou ainda ter reforçado junto aos OEMs a urgência de configurar os sistemas para maximizar sua segurança, elencada na nota como "a maior prioridade da companhia". Por fim, a Intel garantiu que continuará atualizando regularmente o guia de orientações aos fabricantes de sistemas, de forma que eles tenham as melhores informações para proteger os dados dos clientes.
Histórico recente de vulnerabilidades
A F-Secure deixou claro que a falha em questão não tem relação com as vulnerabilidades Spectre e Meltdown, descobertas por especialistas do Google Project Zero e divulgadas pelo site The Register. Estas afetam processadores da Intel feitos na última década, inclusive os de consumo, independentemente da geração.
Nos primeiros dias de 2018, veio à tona que CPUs da Intel, AMD e outras fabricantes permitem que programas maliciosos visualizem dados protegidos pelo kernel em alguns pontos da memória do computador. Assim, um malware pode explorar o defeito para ter acesso a informações importantes do usuário e do computador, como senhas e conteúdos de mensagens, por exemplo.
