Para
nosotros los latinoamericanos este parece un consejo de sobra, o eso creemos,
porque los amigos de lo ajeno siempre están atentos para tomar ventaja de
cualquier descuido. Sin embargo, aquellos familiarizados con técnicas de ingeniería
social saben muy bien que puedes tener tu laptop a tu lado y aun así ser víctimas
de otros ataques.
La compañía
F-Secure anunció que descubrió una vulnerabilidad en el sistema de administración
remota de Intel AMT (por sus siglas en inglés Active Management Technology) que
permitiría burlar las claves de acceso al BIOS de un laptop e instalar un backdoor.
Los procesadores con Intel V-Pro y algunos Xeon parecen ser los más
susceptibles a esta vulnerabilidad.
De acuerdo a
F-Secure, esta vulnerabilidad no está relacionada con Meltdown/Spectre. Aunque la
vulnerabilidad requiere acceso físico al laptop, la rapidez con que se puede
realizar el ataque es preocupante. Un ataque de ingeniería social puede
distraer a la víctima momentáneamente mientras un segundo sujeto compromete al
equipo. Ejemplos donde esta situación puede suceder incluye los vuelos (¿Quién se
roba un laptop en un avión?), conferencias o cualquier Starbucks.
Mientras que
una clave en el BIOS de un equipo usualmente previene acceso a su configuración,
la clave no previene acceso desautorizado a la configuración de AMT lo que
permite al atacante reconfigurar AMT y habilitar explotación remota si la clave
no ha sido cambiada (Usualmente los departamentos de sistemas solo cambian la
clave de BIOS no la de AMT). Una vez existe acceso a AMT, el atacante puede
configurar el laptop para permitir acceso remoto sin el conocimiento de su legítimo
dueño. Una condición necesaria para que el acceso remoto funcione es que la víctima
y el atacante tienen que estar en la misma red, situación muy frecuente en
estos días.
Muchas
compañías tienen sus laptops con disco duros encriptados, pero esa defensa no
es útil en esta situación porque AMT actúa al nivel del BIOS. Una vez el
usuario autorizado se conecta al equipo, el atacante puede observar toda la actividad
que realiza el usuario con total desconocimiento del mismo. AMT realiza todas
sus comunicaciones vía SSL, y esto previene que los equipos de respuesta a
incidentes (SIRT) puedan detectar anomalías en el tráfico.
Al parecer
existe un paliativo y es que algunas organizaciones han deshabilitado el
servicio Windows LMS por causa de la vulnerabilidad CVE-2017-5698. Aunque AMT
necesita de este servicio para la administración remota, no es claro si es posible
tomar ventaja de la vulnerabilidad o no sin el servicio.
¿Qué
hacer? Las organizaciones deben evaluar la susceptibilidad de sus laptops a
esta vulnerabilidad (hacer un
análisis de riesgo ¿recuerdan?) y actuar de acuerdo a las recomendaciones de
la evaluación. Realizar cambios en configuraciones del BIOS puede ser una
pesadilla logística y tomará un buen tiempo actualizar todos los equipos con
configuraciones seguras de AMT (o deshabilitar totalmente la función).