Intel AMT: Firmen-Notebooks in 30 Sekunden gehackt
F-Secure weist auf eine Sicherheitslücke in der Active Management Technology (AMT) von Intel hin, über die ein Angreifer mit Zugang zum Gerät sich binnen weniger Sekunden eine Hintertür einrichten kann.
Als hätte Intel mit »Meltdown« und »Spectre« aktuell nicht genug zu tun, lauert auf vielen Systemen mit Intel-Chips ein weiteres Sicherheitsproblem. Wie F-Secure vermeldet, ist die BIOS-Erweiterung für AMT – eine Fernwartungstechnologie, die von vielen Firmen genutzt wird – durch ein gesetztes BIOS-Passwort nicht geschützt. Ein Angreifer, der Zugang einem Gerät hat, kann es daher schnell booten und auf die AMT-Funktion zugreifen, etwa um den Rechner für einen späteren Fernzugriff zu konfigurieren. Dafür muss während der Boot-Sequenz nur [STRG] + [P] gedrückt werden. Anschließend kann man sich fast immer mit dem Standardpasswort »admin« bei der »Intel Management Engine BIOS Extension« (MEBx) anmelden, da die wenigsten Unternehmen dieses ändern. Nach dem Login ist es dann für den Angreifer möglich, ein neues Passwort zu vergeben, den Remote-Zugriff zu aktivieren und Funktionen wie »AMT User Opt-In« zu deaktivieren.
Das alles lässt sich F-Secure zufolge in weniger als 30 Sekunden durchführen. Die Empfehlung des Security-Herstellers an End User lautet daher auch, Notebooks in der Öffentlichkeit nicht einmal für kurze Zeit unbeaufsichtigt zu lassen – am besten nicht mal in Hotelzimmern. Harry Sintonen, der als Senior Security Consultant bei F-Secure das Sicherheitsproblem untersucht hat, bezeichnet einen derart durchgeführten Angriff als »fast schon lächerlich einfach«. Es stecke ein »enorm destruktives Potenzial« in der Schwachstelle: »In der Praxis gibt sie einem Angreifer die komplette Kontrolle über Arbeitslaptops, selbst wenn eigentlich umfangreiche Sicherheitsmaßnahmen eingerichtet wurden«, erklärt er.
In der Regel kann der Angreifer nach der Manipulation nur auf den Rechner zugreifen, wenn er sich im gleichen LAN befindet. In einigen Fällen sei es jedoch möglich, einen eigenen CIRA-Server (Client Initiated Remote Access) einzutragen, so F-Secure. Damit wäre dann sogar ein Zugriff von außerhalb des lokalen Netzwerks möglich.
F-Secure rät Unternehmen, starke Passwörter für AMT zu vergeben oder die Funktion zu deaktivieren, so sie nicht benötigt wird. Intel sah lange vor allem die Gerätehersteller in der Pflicht. Weil jedoch nur wenige der Anweisung des Chipproduzenten folgten, eine Aktivierung von AMT nur nach Eingabe des BIOS-Passworts zu ermöglichen, hatte das Unternehmen im vergangenen Dezember eigene Best Practices für Kunden zu dem Thema veröffentlicht (PDF).