Vielen Dank für Ihre Anmeldung. Ein Mitglied des Global PR-Teams wird sich in Kürze mit Ihnen in Verbindung setzen.
Der Angriff sei „fast schon lächerlich einfach, er birgt aber ein enorm destruktives Potential“, sagt Harry Sintonen, der das Risiko als Senior Security Consultant bei F-Secure untersucht hat. „In der Praxis gibt sie einem Angreifer die komplette Kontrolle über Arbeits-Laptops, selbst wenn eigentlich umfangreiche Sicherheitsmaßnahmen eingerichtet wurden.“
Intel AMT ist eine Lösung, mit der die IT-Abteilungen von Unternehmen firmeneigene Computer verwalten und aus der Ferne warten können. Das soll das Management vieler Unternehmens-PCs deutlich vereinfachen. Die Technik wurde bereits in der Vergangenheit mehrfach für Schwachstellen kritisiert. Die aktuelle Angriffsmethode setzt sich aufgrund der Einfachheit, mit der sie sich ausnutzen lässt, von anderen Meldungen ab. Sie bietet einen Zugriff in Sekunden, ohne dass eine einzige Code-Zeile notwendig ist.
Die Verwundbarkeit entsteht dadurch, dass ein gesetztes BIOS-Passwort nicht den Zugriff auf die AMT BIOS-Erweiterung blockiert. Normalerweise verhindert dieses Kennwort, dass ein unerlaubter Nutzer das Gerät bootet oder Änderungen am BIOS vornimmt. Dadurch können Angreifer aber auf die AMT-Funktion zugreifen und diese sogar für den Zugriff aus der Ferne konfigurieren.
Ein Angreifer muss das Gerät lediglich neu starten oder hochfahren und während der Boot-Sequenz die Tastenkombination STRG + P gedrückt halten. Anschließend können sie sich bei der Intel Management Engine BIOS Extension (MEBx) anmelden. Das Standard-Passwort dafür lautet „admin“, in den meisten Umgebungen wird dieses nicht geändert. Nach dem Login kann der Angreifer das Kennwort ändern, den Remote-Zugriff aktivieren und Funktionen wie AMT User Opt-In deaktivieren. Ab diesem Zeitpunkt kann der oder die Angreifer über das Netzwerk auf die jeweiligen Rechner zugreifen. Dazu müssen sie lediglich mit dem gleichen LAN wie das Opfer verbunden sein. In einigen Fällen kann der Angreifer einen eigenen CIRA-Server eintragen, damit ist sogar ein Zugang von außerhalb des LANs möglich.
Obwohl der Angriff einen direkten Zugang zum Gerät voraussetzt, sieht Sintonen eine hohe Gefahr, dass die Lücke ausgenutzt wird. Eine Attacke lässt sich extrem schnell ausführen, perfekt für sogenannte Evil-Maid-Angriffe. „Stellen Sie sich vor, dass Sie Ihren Laptop im Hotelzimmer lassen und auf einen Drink an die Bar gehen. Der Angreifer bricht in Ihren Raum ein, konfiguriert den Laptop in weniger als einer Minute um und kann anschließend bequem vom eigenen Zimmer über das Hotel-WLAN auf Ihren Rechner zugreifen. Und weil dieser per VPN im Firmennetz hängt, stehen die Türen zu Unternehmensdaten offen.“ Sintonen weist darauf hin, dass es reicht, das Opfer eine Minute lang abzulenken. Das reicht schon, um in einem Coffee Shop oder einer Flughafen-Lounge eine Hintertür auf dem Notebook einzurichten.
Sintonen fand die Schwachstelle im Juli 2017, ein anderer Experte hatte die Attacke im Herbst* in einem Vortrag erwähnt. Deswegen ist es, dass Unternehmen jetzt aktiv werden und diese Hintertür schließen. Ein ähnliches potentielles Sicherheitsrisiko wurde bereits vom CERT Bund publiziert, allerdings ging es dabei laut Sintonen vor allem um USB Provisioning.
Das Problem betrifft die meisten, wenn nicht alle Computer, die die Intel Management Engine und Intel AMT unterstützen. Sie ist unabhängig von den kürzlich veröffentlichten Lücken Spectre und Meltdown.
Intel selbst empfiehlt zwar, dass das BIOS Passwort notwendig ist, um Intel AMT zu aktivieren. Allerdings halten sich nur wenige Hersteller an diese Anweisung. Im Dezember 2017 hat das Unternehmen daher einen Ratschlag namens "Security Best Practices of Intel Active Management Technology Q&A" veröffentlicht.
Empfehlungen
Für Endnutzer
Weitere Informationen: Video: https://youtu.be/aSYlzgVacmw Business Insider Blog: https://de.business.f-secure.com/sicherheitsproblem-in-intels-active-management-technology-amt
F-Secure lebt Cyber Security wie kein Anderer. Seit drei Jahrzehnten treibt F-Secure Innovationen in der Cybersicherheit voran und schützt zehntausende von Unternehmen und Millionen von Menschen weltweit. Mit unübertroffener Erfahrung in Endpoint Protection sowie Erkennung und Reaktion, schützt F-Secure Unternehmen und Verbraucher vor Online-Bedrohungen jeglicher Art – von fortschrittlichen Cyberangriffen und Verletzung der Datensicherheit bis hin zu Infektionen mit Ransomware-Trojanern.
F-Secures anspruchsvolle Technik vereint die Stärken von Maschine mit dem menschlichen Know-how des weltweit anerkannten Sicherheitslabors für den einzigartigen Ansatz genannt Live Security. Darüber hinaus beteiligten sich F-Secure und ihre Sicherheitsexperten an mehr europäischen Cyber-Crime Untersuchungen als jede andere Firma. Die F-Secure Produkte und Services werden weltweit von über 200 Telekommunikationsunternehmen und Internetbetreibern sowie tausenden von Händlern angeboten.
F-Secure wurde 1988 gegründet und ist börsennotiert an der NASDAQ OMX Helsinki Ltd.
Aktuelle News per E-Mail? Tragen Sie sich in unseren Presseverteiler ein
Alle Pressemitteilungen nach Jahren sortiert
Alle Pressemitteilungen nach Themen sortiert