DFN-CERT-2015-1328 Intel Active Management Technology (AMT): Eine Schwachstelle ermöglicht die Übernahme des Systems [Linux][Unix][Windows]

DFN-CERT-2015-1328 Intel Active Management Technology (AMT): Eine Schwachstelle ermöglicht die Übernahme des Systems [Linux][Unix][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Intel Active Management Technology (AMT)

Betroffene Plattformen:

Intel Active Management Technology (AMT)

Durch Ausnutzen eines unsicheren Auslieferungszustandes von
(unprovisionierten) PCs und anderen Intel Systemen mit der im Chipsatz
implementierten Intel Active Management Technology (AMT)-Lösung, für eine
mögliche Fernwartung, kann ein lokaler, nicht authentisierter Angreifer
dauerhaft einen PC, bzw. Computer übernehmen, wodurch er in der Folge auch
über das Internet die vollständige Kontrolle darüber erhält.

Von dieser Sicherheitslücke betroffen sind alle Systeme von verschiedenen
Herstellern, die einen solchen Intel Chipsatz enthalten und über die Intel
Management Engine verfügen. Insbesondere gelten mobile Geräte, z.B. Laptops,
in einem Unternehmenskontext als gefährdet, da diese zum Einen häufig über
AMT verfügen und zum Anderen oft nicht durchgängig vor einem etwaigen
unbefugten lokalen Zugriff geschützt werden können. Es wird deshalb dringend
empfohlen, den derzeit einzig möglichen Workaround bereits vor erstmaliger
Aushändigung der Geräte anzuwenden.

Workaround:

Bei Provisionierung eines neuen Gerätes sollte zunächst ein für jedes Gerät
spezifisches sicheres AMT-Passwort vergeben werden und sodann in der
BIOS-Konfiguration das AMT-Subsystem deaktiviert werden. Danach muss
nochmals geprüft werden, ob durch die Deaktivierung nicht möglicherweise das
AMT-Passwort auf den Default-Wert zurückgesetzt wurde, was bei einigen
Systemen passieren kann.

Ohne die Absicherung des AMT-Subsystems durch ein sicheres Passwort bietet
das einfache Deaktivieren von AMT im BIOS, selbst wenn dieses wiederum durch
ein BIOS-Passwort geschützt ist, oder die Deaktivierung des Systemstarts von
USB-Geräten keinen Schutz!

Intel AMT 2015-08-27: Schwachstelle in Intel AMT ermöglicht das Erlangen von
Administratorrechten

Eine Schwachstelle in Intel Systemen mit Intel Active Management (AMT, vPro)
besteht darin, dass diese im Auslieferungszustand nicht sicher konfiguriert
sind und ein für alle Systeme gleiches Passwort gesetzt ist. Ein nicht
authentisierter Angreifer, der dafür lediglich kurzzeitig lokalen Zugang
benötigt, kann diese Schwachstelle ausnutzen, zum Beispiel mittels eines
präparierten USB-Gerätes, um unter Verwendung des Default-Passwortes Zugang
zu dem betroffenen PC / Computer zu erlangen und die Konfiguration
dahingehend zu verändern, dass er in der Folge auch aus der Ferne mit
Administratorrechten auf das Gerät zugreifen kann. Hierdurch erhält er die
vollständige Kontrolle über das System und es ist ihm unter anderem möglich,
Daten zu lesen, zu verändern und zu löschen sowie beliebigen Programmcode
zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1328/

Intel AMT Implementation and Reference Guide:
https://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/WordDocuments/manageabilityports.htm

Intel Active Management Technology (AMT):
http://www.intel.com/content/www/us/en/architecture-and-technology/intel-active-management-technology.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben