F-Secure meldet Schwachstelle in Intels Active Management Technology

Unsichere Standardeinstellungen in Intels Active Management Technology (AMT) gefährden die meisten Firmen-Notebooks und damit Millionen Geräte weltweit, meldet die Sicherheitsfirma F-Secure. Demnach erlauben sie einem Angreifer mit Zugang zum Gerät, in weniger als 30 Sekunden eine Hintertür zu installieren.

Durch dieses Sicherheitsproblem wäre es möglich, eine ansonsten erforderliche Eingabe von Anmeldedaten einschließlich BIOS-Passwort, Bitlocker-Passwort und TPM-PIN zu umgehen. „Es ist fast trügerisch einfach auszunutzen, aber es hat ein unglaublich zerstörerisches Potential“, kommentiert Harry Sintonen, Senior Security Consultant bei F-Secure. „In der Praxis kann es einem Angreifer die vollständige Kontrolle über den Arbeits-Laptop eines Nutzers geben – selbst bei umfangreichsten Sicherheitsvorkehrungen.“

Intel AMT ermöglicht die Fernwartung von PCs. Sie setzt auf der Intel Management Engine (ME) auf und ist in Enterprise-Hardware anzutreffen, zu der Desktop-PCs ebenso wie Notebooks für den geschäftlichen Einsatz zählen. Voraussetzung dafür sind Core-Prozessoren oder Xeon-Prozessoren mit vPro. AMT und ME fielen schon mehrfach durch kritische Sicherheitslücken auf.

Die jetzt gemeldete Schwachstelle steht nicht im Zusammenhang mit den Sicherheitslecks Spectre und Meltdown und ist laut Sicherheitsforscher Harry Sintonen extrem einfach zu nutzen. Sie sei im Grunde darauf zurückzuführen, dass auch ein gesetztes BIOS-Passwort nicht den unautorisierten Zugriff auf die AMT-BIOS-Erweiterung verhindert. Das erlaube dem Angreifer, AMT zu konfigurieren und spätere Zugriffe aus der Ferne vorzubereiten.

Wie Sintonen entdeckte, muss ein Angreifer nur das Notebook hochfahren oder einen Neustart durchführen – und während des Bootvorgangs Ctrl-P drücken. Das erlaube ihm, sich in der Intel Management Engine BIOS Extension (MEBx) mit dem Standard-Passwort „admin“ anzumelden, das auf Firmen-Notebooks in den meisten Fällen ungeändert bleibe. Somit wird es möglich, das Passwort zu ändern und Fernzugriff zu ermöglichen. In der Folge kann der Angreifer aus der Ferne auch drahtlos auf das System zugreifen, solange er sich im selben Netzwerksegment wie das Opfer befindet. Auch von außerhalb des lokalen Netzwerks wäre ein Angriff möglich über einen vom Angreifer betriebenen CIRA-Server.

Auch wenn zunächst ein direkter Zugang zum Gerät erforderlich ist, hält Sintonen die Schwachstelle aufgrund des minimalen Zeitaufwands in einem Evil-Maid-Szenario für leicht ausnutzbar. Es genüge etwa, den Laptop in einem Hotelzimmer zu lassen, während man sich einen Drink genehmigt – ein Angreifer könnte in den Raum eindringen und den Laptop in weniger als einer Minute kompromittieren. Auch wäre es möglich, eine Zielperson am Flughafen oder in einem Café eine Minute abzulenken, während eine andere Person sich den Laptop vornimmt.

Grundsätzlich empfiehlt F-Secure daher, geschäftliche Notebooks an unsicheren Orten nie unbeobachtet zu lassen. Einzelne Nutzer betroffener Geräte sollten ein starkes AMT-Passwort vergeben oder AMT deaktivieren, wenn sie es ohnehin nicht einsetzen wollen. Verdächtig sei, wenn bereits ein neues und unbekanntes Passwort vergeben wurde. Organisationen empfehlen die Sicherheitsexperten, schon im Bereitstellungsverfahren für ein starkes AMT-Passwort zu sorgen und gegebenenfalls AMT zu deaktivieren, wenn diese Option verfügbar ist. Alle gegenwärtig eingesetzten Geräte sollten mit starkem AMT-Passwort konfiguriert werden. In einer FAQ gibt die Sicherheitsfirma weitere Hinweise.

Intel räumte das Problem gegenüber ZDNet.com ein, schob es aber den Notebook-Herstellern zu. „Einige Systemhersteller haben ihre Systeme nicht konfiguriert, um die Intel Management Engine BIOS Extension (MEBx) zu schützen“, erklärte ein Intel-Sprecher. Das Unternehmen habe 2015 einen Leitfaden für die besten Vorgehensweisen bei der Konfiguration bereitgestellt und im November 2017 aktualisiert. „Wir empfehlen OEMs dringend, ihre Systeme für maximale Sicherheit zu konfigurieren.“

[mit Material von Danny Palmer, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

10 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

11 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago