Une nouvelle vulnérabilité affectant les processeurs Intel a été découverte par les chercheurs de la société F-Secure. Celle-ci affecterait les modules Active Management Technology (MAT)   en permettant  à un attaquant de prendre le contrôle de la machine.

Après les affaires de faille de sécurité Spectre et Meltdown  (1) qui ont attiré l’attention sur les processeurs Intel en début de mois,  Intel semble à nouveau au cœur des préoccupations :

La semaine dernière, la société F-Secure a publié un rapport décrivant  une nouvelle vulnérabilité présente au sein des processeurs Intel et plus particulièrement au sein des modules AMT embarqués par certains modèles de processeurs.

AMT est un module utilisé pour la prise de contrôle à distance de machines Intel.

Celui-ci embarque plusieurs logiciels et outils, tels que des fonctions de connexion au réseau, d’accès à la mémoire de la machine ou des différents équipements branchés ; il peut permettre d’accéder à la machine en contournant les mots de passe mis en place au niveau du Bios ou de l’OS, AMT étant accessible au démarrage de la machine.

C’est justement sur ce principe que  F-Secure se base pour lancer son alerte: AMT dispose d’un mot de passe par défaut, qui peut permettre à un attaquant disposant d’un accès physique à la machine d’accéder à AMT et de mettre en place une porte dérobée sur la machine ;

Alors que dans le cas de Meltdown et Spectre  il s’agissait d’une faille issue d’un bug,  il s’agit ici d’un problème de configuration du module.

F-Secure indique que  les modules AMT sont généralement laissés avec le mot de passe par défaut « admin » qui est rarement modifié par l’utilisateur.

«En changeant le mot de passe par défaut, en autorisant l’accès à distance et en configurant l’accès à distance AMT pour ne pas demander l’autorisation de l’utilisateur, un cybercriminel peut compromettre la machine » soulignent  les chercheurs de F-Secure.

Une technique qui nécessite d’avoir un accès physique à la machine

Si la technique nécessite en effet d’avoir un accès physique à la machine, une utilisation détournée de l’outil d’Intel peut permettre à un attaquant de mettre en place une porte dérobée sur la machine de la cible.

AMT embarque ainsi toutes les fonctionnalités logicielles nécessaires pour constituer une porte dérobée sur la machine visée.

Une fois la configuration mise en place, l’attaquant pourra profiter de cet accès dérobé pour espionner l’activité de l’utilisateur sur la machine à partir d’un ordinateur connecté sur le réseau local ou à distance.

Ici, le défaut provient donc d’un souci de configuration et de connaissance de ce module, dont les mots de passe par défaut ne sont pas changés par les constructeurs et administrateurs.

Le constructeur a indiqué qu’un guide de configuration est disponible pour ceux qui souhaiteraient s’assurer que le module AMT présent sur leur machine n’est pas accessible pour un attaquant.

Conclusion : pour parer une éventuelle attaque de ce type , il vaut mieux changer le mot de passe par défaut du module AMT en  assurant la surveillance des accès physiques aux machines susceptibles d’être prises pour cible.

(1)           Voir :