Schwaches Passwort erlaubt Angreifern Remote-Zugriff

Schwachstelle in Intel AMT gefährdet Firmen-Laptops

| Redakteur: Peter Schmitz

Aufgrund unsicherer Standardeinstellungen in Intel AMT können Angreifer das Nutzer- und BIOS-Passwort sowie Bitlocker- oder TMP-Schutz umgehen und innerhalb von Sekunden Hintertüren in Firmen-Laptops einrichten.
Aufgrund unsicherer Standardeinstellungen in Intel AMT können Angreifer das Nutzer- und BIOS-Passwort sowie Bitlocker- oder TMP-Schutz umgehen und innerhalb von Sekunden Hintertüren in Firmen-Laptops einrichten. (Bild: Pixabay / CC0)

F-Secure meldet ein Sicherheitsproblem, das die meisten von Firmen ausgegebenen Laptops betrifft. Ein Angreifer mit Zugang zum Gerät kann es in weniger als einer Minute mit einer Hintertür ausstatten. Dabei lassen sich die Abfragen von Kennwörtern wie BIOS- oder Bitlocker-Passwörter oder TPM-Pins umgehen um einen Remote-Zugriff einzurichten. Erfolgreiche Angreifer können anschließend aus der Ferne auf die Systeme zugreifen. Die Schwachstelle existiert in Intels Active Management Technology (ATM) und betrifft Millionen Laptops weltweit.

Der Angriff sei „fast schon lächerlich einfach, er birgt aber ein enorm destruktives Potential“, sagt Harry Sintonen, der das Risiko als Senior Security Consultant bei F-Secure untersucht hat. „In der Praxis gibt sie einem Angreifer die komplette Kontrolle über Arbeits-Laptops, selbst wenn eigentlich umfangreiche Sicherheitsmaßnahmen eingerichtet wurden.“

Intel AMT ist eine Lösung, mit der die IT-Abteilungen von Unternehmen firmeneigene Computer verwalten und aus der Ferne warten können. Das soll das Management vieler Unternehmens-PCs deutlich vereinfachen. Die Technik wurde bereits in der Vergangenheit mehrfach für Schwachstellen kritisiert. Die aktuelle Angriffsmethode setzt sich aufgrund der Einfachheit, mit der sie sich ausnutzen lässt, von anderen Meldungen ab. Sie bietet einen Zugriff in Sekunden, ohne dass eine einzige Code-Zeile notwendig ist.

Die Verwundbarkeit entsteht dadurch, dass ein gesetztes BIOS-Passwort nicht den Zugriff auf die AMT BIOS-Erweiterung blockiert. Normalerweise verhindert dieses Kennwort, dass ein unerlaubter Nutzer das Gerät bootet oder Änderungen am BIOS vornimmt. Dadurch können Angreifer aber auf die AMT-Funktion zugreifen und diese sogar für den Zugriff aus der Ferne konfigurieren.

Ein Angreifer muss das Gerät lediglich neu starten oder hochfahren und während der Boot-Sequenz die Tastenkombination STRG + P gedrückt halten. Anschließend können sie sich bei der Intel Management Engine BIOS Extension (MEBx) anmelden. Das Standard-Passwort dafür lautet „admin“, in den meisten Umgebungen wird dieses nicht geändert. Nach dem Login kann der Angreifer das Kennwort ändern, den Remote-Zugriff aktivieren und Funktionen wie AMT User Opt-In deaktivieren. Ab diesem Zeitpunkt kann der oder die Angreifer über das Netzwerk auf die jeweiligen Rechner zugreifen. Dazu müssen sie lediglich mit dem gleichen LAN wie das Opfer verbunden sein. In einigen Fällen kann der Angreifer einen eigenen CIRA-Server eintragen, damit ist sogar ein Zugang von außerhalb des LANs möglich.

Obwohl der Angriff einen direkten Zugang zum Gerät voraussetzt, sieht Sintonen eine hohe Gefahr, dass die Lücke ausgenutzt wird. Eine Attacke lässt sich extrem schnell ausführen, perfekt für sogenannte Evil-Maid-Angriffe. „Stellen Sie sich vor, dass Sie Ihren Laptop im Hotelzimmer lassen und auf einen Drink an die Bar gehen. Der Angreifer bricht in Ihren Raum ein, konfiguriert den Laptop in weniger als einer Minute um und kann anschließend bequem vom eigenen Zimmer über das Hotel-WLAN auf Ihren Rechner zugreifen. Und weil dieser per VPN im Firmennetz hängt, stehen die Türen zu Unternehmensdaten offen.“ Sintonen weist darauf hin, dass es reicht, das Opfer eine Minute lang abzulenken. Das reicht schon, um in einem Coffee Shop oder einer Flughafen-Lounge eine Hintertür auf dem Notebook einzurichten.

Sintonen fand die Schwachstelle im Juli 2017, ein anderer Experte hatte die Attacke im Herbst in einem Vortrag erwähnt. Deswegen ist es, dass Unternehmen jetzt aktiv werden und diese Hintertür schließen. Ein ähnliches potentielles Sicherheitsrisiko wurde bereits vom CERT Bund publiziert, allerdings ging es dabei laut Sintonen vor allem um USB Provisioning.

Das Problem betrifft die meisten, wenn nicht alle Computer, die die Intel Management Engine und Intel AMT unterstützen. Sie ist unabhängig von den kürzlich veröffentlichten Lücken Spectre und Meltdown.

Intel selbst empfiehlt zwar, dass das BIOS Passwort notwendig ist, um Intel AMT zu aktivieren. Allerdings halten sich nur wenige Hersteller an diese Anweisung. Im Dezember 2017 hat das Unternehmen daher einen Ratschlag namens "Security Best Practices of Intel Active Management Technology Q&A" veröffentlicht.

Empfehlungen

Für Endnutzer

  • Lassen Sie Ihren Laptop nicht unbeobachtet an unsicheren Plätzen.
  • Kontaktieren Sie Ihre IT-Abteilung, um das Gerät zu schützen.
  • Sollten Sie sich selbst um die Administration kümmern, ändern Sie das AMT-Kennwort auf ein starkes Passwort, selbst wenn Sie die Funktion nicht nutzen möchten. Falls möglich, deaktivieren Sie Intel AMT. Sollte das Kennwort nicht dem Standard-Passwort entsprechen, gehen Sie davon aus, dass das Gerät kompromittiert wurde.

Für Unternehmen

  • Ändern Sie die Provisionierung so ab, dass ein starkes Kennwort für Intel AMT vergeben wird. Deaktivieren Sie AMT falls möglich.
  • Untersuchen Sie alle aktuell im Einsatz befindlichen Geräte und ändern Sie das AMT-Kennwort. Sollte dieses bei einzelnen Geräten bereits auf einen unbekannten Wert gesetzt sein, gehen Sie davon aus, dass das Gerät kompromittiert wurde und untersuchen Sie den Zwischenfall.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45091912 / Sicherheitslücken)