Deutsch | English

2. Update: Sicherheitsproblem in Fernwartungstechnik Intel AMT (betrifft viele Systeme mit aktuellen Intel-Prozessoren)

28. August 2015

Update 28. August 2015, 12:55h
2. Update, 14. Oktober 2015, 12h

Beschreibung

Wie das CERT-Bund (eine Einrichtung des deutschen Bundesamts für Sicherheit in der Informationstechnik) schreibt, gibt es ein potentiell kritisches Problem mit unprovisionierten Geräten, die Intel AMT (Advanced Management Technology) - eine Technologie zur Fernwartung und Provisionierung von PCs im Business-Umfeld - einsetzen.

Dies ist vor allem für Geräte relevant, die sich nicht ausschließlich in zugangsgeschützten Bereichen befinden - etwa Notebooks, sowie PCs in Räumen mit Parteien-/Kundenverkehr.

Details

In manchen Situationen kann es sein, dass bloßes Anstecken eines entsprechend präparierten USB-Sticks für wenige Sekunden ausreicht, um die Kontrolle über ein System mit Intel AMT zu übernehmen.
Da dies "unterhalb" eines Betriebssystems passiert, gibt es für Betriebssysteme kaum Möglichkeiten, dies zu verhindern, und auch ein Erkennen eines solchen Angriffs kann schwer bis unmöglich sein.

Auswirkungen

Ein Angreifer hat potentiell vollen Zugriff auf ein betroffenes System, daher sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Nach den aktuell vorliegenden Informationen sind potentiell alle Geräte betroffen, die Intel-Prozessoren mit AMT (oft mit dem Zusatz "vPro" bei der Prozessor-Bezeichnung) und dazugehörige Chipsets mit Intel Management Engine (IME) bzw. Management Engine BIOS Extension (MEBx) benutzen. Eine genaue Eingrenzung ist uns aufgrund der großen Anzahl an möglichen Kombinationen von Prozessoren, Chipsets und Hersteller-spezifischen Erweiterungen/Anpassungen/Default-Settings leider momentan nicht möglich.
Im Zweifelsfall empfehlen wir, auf der Webseite von Intel nach der Prozessorbezeichnung zu suchen (etwa "i5-660") - wenn in den Produktspezifikationen unter "Advanced Technologies" "vPro" angegeben ist, ist die Wahrscheinlichkeit hoch, dass das System von diesem Problem betroffen ist.

Update 28. August 2015, 12:55h

Wir bekamen das Feedback, dass in der auf Deutsch lokalisierten Version der Intel-Homepage bei manchen Benutzern die Suche nach Prozessorbezeichnungen nicht zufriedenstellend funktioniert. Wir empfehlen daher, auf http://ark.intel.com/ zu suchen, dies funktioniert auch bei den von uns getesteten lokalisierten Versionen der Intel-Homepage.

Einigen ersten Hinweisen nach ist Version 11 von Intel AMT (siehe Dokumentation der AMT-Versionen bei Intel) nicht mehr für dieses Problem anfällig. Wir konnten das aber bislang nicht verifizieren.

2. Update, 14. Oktober 2015, 12h

Informationen von Intel zu diesem Themenkomplex: https://downloadcenter.intel.com/download/25423

Abhilfe

Auf Geräten mit Intel AMT empfiehlt sich folgende Vorgangsweise:
  • Setzen eines BIOS-Passworts
  • Setzen eines Geräte-spezifischen Passworts für Intel AMT
Reines Deaktivieren von Intel AMT via BIOS-Settings reicht leider oft nicht aus, und möglicherweise wird durch solches Deaktivieren das (bekannte) Standard-Passwort wieder gesetzt. Daher auch die Empfehlung, nicht nur ein AMT- sondern auch ein BIOS-Passwort zu setzen, und AMT ansonsten aktiviert zu lassen.

(Die AMT-Konfiguration ist meist durch die Tastenkombination <Strg>+P während des Boot-Vorgangs zugänglich, wenn die Defaults nicht vom Hersteller geändert werden. Genaue Auskunft sollte die Bedienungsanleitung liefern.)

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):

Kurzinfo CB-K15/1256 von CERT-Bund
https://www.cert-bund.de/advisoryshort/CB-K15-1256
Artikel dazu bei Heise Security
http://www.heise.de/security/meldung/BSI-warnt-vor-Risiko-bei-Intels-Fernwartungstechnik-AMT-2792791.html
Informationen von Intel zu diesem Themenkomplex (englisch)
https://downloadcenter.intel.com/download/25423
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Neue Variante von Ransomware/Wurm "Petya"
28. Juni 2017 | Seit ...
Ransomware/Wurm WannaCry
14. Mai 2017 | Seit ...
mehr ...
In eigener Sache: CERT.at sucht Verstärkung
18. Juli 2017 | Für unser ...
Petya Updates #3 - Die Hoffnung auf einen Kill-Switch
27. Juni 2017 | Petya ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/10/14 - 12:07:04
Haftungsausschluss