Forscher: Sicherheitslücke in Intel-Firmware lässt sich leicht ausnutzen

Der Sicherheitsanbieter Embedi hat Details zur der von ihm entdeckten Schwachstelle in Firmware von Intel veröffentlicht. In einem laut einer Pressemitteilung mit Zustimmung von Intel bereitgestellten Whitepaper (PDF) beschreibt das Unternehmen, wie Angreifer die vollständige Kontrolle über Business-PCs mit Intel vPro übernehmen können. Die Anfälligkeit kann demnach sogar per Browser und ohne Eingabe eines Passworts ausgenutzt werden.

Der Fehler steckt in der Firmware von Active Management Technology (AMT), Standard Manageability (ISM) und Small Business Technology (SBT). Administratoren können beispielsweise per AMT vollständige PC-Infrastrukturen verwalten, als hätten sie direkten Zugriff auf jeden einzelnen Computer, um beispielsweise Softwareupdates zu installieren oder Festplatten zu löschen. AMT erlaubt es sogar, per Browser auf im Ruhezustand befindliche PCs zuzugreifen – allerdings erst nach Eingabe eines vom Administrator festgelegten Passwords.

Intels Hardware-basiertes Management von PCs in der Ansicht der Active Mangement Technology (AMT). (Bild: Thomas Krenn AG)Genau hier liegt laut Embedi das Problem. Die Browser-Konsole lässt sich auch ohne Eingabe eines Passworts starten. Ein Fehler bei der Verarbeitung der Kennwörter erlaubt es, dass Eingabefeld leer zu lassen und trotzdem die Anmeldung erfolgreich abzuschließen. „Kein Zweifel, das ist der Fehler eines Programmierers, aber so ist es: Mach gar nichts, wenn du aufgefordert wirst, und du bist drin“, teilten die Forscher mit.

Forscher von Tenable bestätigten die Funktionsweise der Sicherheitslücke in einem ebenfalls am Freitag veröffentlichten Blogeintrag. Mit einer einfachen Zeichenkette sei es möglich, sich beim AMT-Web-Interface mit dem Benutzernamen „admin“ und einem beliebigen Passwort anzumelden.

Während Intel Systeme wie Desktops, Laptops und Server aus den Jahren 2010 bis 2017 mit den Firmwareversionen 6.x bis 11.6 als anfällig einstuft, geht Embedi davon aus, dass alle AMT-fähigen Rechner angreifbar sind, die mit dem Internet verbunden sind und bei denen die Ports 16992 und 16993 offen sind. „Der Zugang zu den Ports 16992/16993 ist die einzige Voraussetzung für einen erfolgreichen Angriff“, ergänzten die Embedi-Forscher.

Cyberkriminelle versuchen offenbar schon seit 1. Mai, die Schwachstelle auszunutzen. Unternehmen wie Highcharts.com registrieren seitdem einen deutlichen Anstieg von Anfragen an die Ports 16992 und 16993. Die Gerätesuchmaschine Shodan liefert zudem mehr als 8500 anfällige Computer, von denen sich alleine fast 3000 in den USA und rund 1200 in Deutschland befinden. Hierzulande sind demnach vor allem Systeme betroffen, die über die Deutsche Telekom sowie die Freie Universität Berlin auf das Internet zugreifen.

Intel verweist in einer aktuellen Stellungnahme auf ein seit 4. Mai erhältliches Tool, mit dem Nutzer feststellen können, ob ihr System betroffen ist. Zudem sollen Computerhersteller ab dieser Woche Firmwareupdates für ihre Produkte bereitstellen. Unter anderem Dell, Fujitsu, HP und Lenovo haben bereits eigene Advisories veröffentlicht und neue Firmwareversionen angekündigt.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Tabletmarkt wächst 2024 um 9 Prozent

Apple baut seinen Vorsprung vor Samsung aus. Auch in diesem Jahr sollen die Verkaufszahlen ansteigen.

10 Stunden ago

Hacker nutzen DeepSeek und Qwen zur Entwicklung bösartiger Inhalte aus

Check Point Research wechseln Cyber-Kriminelle verstärkt von ChatGPT zu DeepSeek und Qwen.

15 Stunden ago

Malwarebytes sagt Rekordjahr für Ransomware voraus

Künstliche Intelligenz steigert auch die Produktivität von Cyberkriminellen. Malwarebytes erwartet, dass sich des Wettrüsten zwischen…

16 Stunden ago

Gefälschte Jobangebote auf LinkedIn verbreiten Malware

Die mutmaßlich koreanischen Hacker suchen unter anderem Softwareentwickler. Ein von ihnen bereitgestelltes Repository enthält Schadsoftware.

17 Stunden ago

Google stopft 12 Sicherheitslöcher in Chrome

Patches sind in der finalen Version von Chrome 133 enthalten. Angreifer können unter Umständen aus…

2 Tagen ago

Firefox 135 schließt schwerwiegende Sicherheitslücken

Sie erlauben unter Umständen eine Remotecodeausführung. Betroffen sind Firefox 134 und Firefox ESR 128.6 für…

2 Tagen ago