Kurzinfo CB-K15/1256

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Intel Active Management Technology (AMT): Eine Schwachstelle ermöglicht die Übernahme des Systems
Datum: 27.08.2015
Software: Intel Active Management Technology (AMT)
Plattform: Intel Active Management Technology (AMT)
Auswirkung: Erlangen von Administratorrechten
Remoteangriff: Nein
Risiko: hoch
Bezug: Intel AMT Implementation and Reference Guide
Beschreibung

Intel Active Management Technology (AMT) ist als Teil der Intel Management Engine ein Feature von Intel Core Prozessoren mit Intel vPro™ Technologie und einigen Workstation-Plattformen, die auf Intel Xeon Prozessoren basieren. AMT dient zur zentralen Verwaltung von Computersystemen über das Netzwerk. IT-Administratoren in Unternehmen oder IT-Dienstleister können darüber per Fernzugriff PCs, Workstations und Server verwalten, reparieren und schützen.

Durch Ausnutzen eines unsicheren Auslieferungszustandes von (unprovisionierten) PCs und anderen Intel Systemen mit der für eine mögliche Fernwartung im Chipsatz implementierten Intel Active Management Technology (AMT)-Lösung, kann ein lokaler, nicht authentisierter Angreifer dauerhaft einen PC, bzw. Computer übernehmen und in Folge auch über das Internet die vollständige Kontrolle erhalten. Von dieser Sicherheitslücke betroffen sind diverse Systeme von verschiedenen Herstellern, die einen solchen Intel Chipsatz enthalten und über die Intel Management Engine verfügen. Insbesondere gelten mobile Geräte, z.B. Laptops, in einem Unternehmenskontext als gefährdet, da diese zum Einen häufig über AMT verfügen und zum Anderen oft nicht durchgängig vor einem etwaigen unbefugten lokalen Zugriff geschützt werden können. Es wird deshalb dringend empfohlen, den derzeit einzig möglichen Workaround bereits vor erstmaliger Aushändigung der Geräte anzuwenden. Workaround: Bei Provisionierung eines neuen Gerätes sollte zunächst ein für jedes Gerät spezifisches sicheres AMT-Passwort vergeben werden und sodann in der BIOS-Konfiguration das AMT-Subsystem deaktiviert werden. Danach muss nochmals geprüft werden, ob durch die Deaktivierung nicht möglicherweise das AMT-Passwort auf den Default-Wert zurückgesetzt wurde, was bei einigen Systemen passieren kann. Ohne die Absicherung des AMT-Subsystems durch ein sicheres Passwort bietet das einfache Deaktivieren von AMT im BIOS, selbst wenn dieses wiederum durch ein BIOS-Passwort geschützt ist, oder die Deaktivierung des Systemstarts von USB-Geräten keinen Schutz!

  1. Intel AMT Implementation and Reference Guide

  2. Intel Active Management Technology (AMT)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.