[Warning] Sicherheitsproblem in Fernwartungstechnik Intel AMT (betrifft viele Systeme mit aktuellen Intel-Prozessoren)
Robert Waldner
waldner at cert.at
Fri Aug 28 11:10:16 CEST 2015
28. August 2015
Beschreibung
Wie das CERT-Bund (eine Einrichtung des deutschen Bundesamts für
Sicherheit in der Informationstechnik) schreibt, gibt es ein
potentiell kritisches Problem mit unprovisionierten Geräten, die
Intel AMT[1] (Advanced Management Technology) - eine Technologie zur
Fernwartung und Provisionierung von PCs im Business-Umfeld -
einsetzen.
Dies ist vor allem für Geräte relevant, die sich nicht ausschließlich
in zugangsgeschützten Bereichen befinden - etwa Notebooks, sowie PCs
in Räumen mit Parteien-/Kundenverkehr.
Details
In manchen Situationen kann es sein, dass bloßes Anstecken eines
entsprechend präparierten USB-Sticks für wenige Sekunden ausreicht,
um die Kontrolle über ein System mit Intel AMT zu übernehmen.
Da dies "unterhalb" eines Betriebssystems passiert, gibt es für
Betriebssysteme kaum Möglichkeiten, dies zu verhindern, und auch ein
Erkennen eines solchen Angriffs kann schwer bis unmöglich sein.
Auswirkungen
Ein Angreifer hat potentiell vollen Zugriff auf ein betroffenes
System, daher sind alle Daten auf diesen Systemen, sowie alle durch
diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN,
Fileshares, etc.) Daten und anderen Systeme gefährdet.
Betroffene Systeme
Nach den aktuell vorliegenden Informationen sind potentiell alle
Geräte betroffen, die Intel-Prozessoren mit AMT (oft mit dem Zusatz
"vPro" bei der Prozessor-Bezeichnung) und dazugehörige Chipsets mit
Intel Management Engine (IME) bzw. Management Engine BIOS Extension
(MEBx) benutzen. Eine genaue Eingrenzung ist uns aufgrund der großen
Anzahl an möglichen Kombinationen von Prozessoren, Chipsets und
Hersteller-spezifischen Erweiterungen/Anpassungen/Default-Settings
leider momentan nicht möglich.
Im Zweifelsfall empfehlen wir, auf der Webseite von Intel
(http://intel.com/) nach der Prozessorbezeichnung zu suchen (etwa
"i5-660") - wenn in den Produktspezifikationen unter "Advanced
Technologies" "vPro" angegeben ist, ist die Wahrscheinlichkeit hoch,
dass das System von diesem Problem betroffen ist.
Einigen ersten Hinweisen nach ist Version 11 von Intel AMT (siehe
Dokumentation der AMT-Versionen bei Intel[2]) nicht mehr für dieses
Problem anfällig. Wir konnten das aber bislang nicht verifizieren.
Abhilfe
Auf Geräten mit Intel AMT empfiehlt sich folgende Vorgangsweise:
* Setzen eines BIOS-Passworts
* Setzen eines Geräte-spezifischen Passworts für Intel AMT
Reines Deaktivieren von Intel AMT via BIOS-Settings reicht leider oft
nicht aus, und möglicherweise wird durch solches Deaktivieren das
(bekannte) Standard-Passwort wieder gesetzt. Daher auch die
Empfehlung, nicht nur ein AMT- sondern auch ein BIOS-Passwort zu
setzen, und AMT ansonsten aktiviert zu lassen.
(Die AMT-Konfiguration ist meist durch die Tastenkombination <Strg>+P
während des Boot-Vorgangs zugänglich, wenn die Defaults nicht vom
Hersteller geändert werden. Genaue Auskunft sollte die
Bedienungsanleitung liefern.)
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
möglichst für alle Arten von Browser-Plugins verwendet werden.
__________________________________________________________________
Informationsquelle(n):
Kurzinfo CB-K15/1256 von CERT-Bund
https://www.cert-bund.de/advisoryshort/CB-K15-1256
Artikel dazu bei Heise Security
http://www.heise.de/security/meldung/BSI-warnt-vor-Risiko-bei-Intels-Fernwartungstechnik-AMT-2792791.html
References
1.
http://www.intel.de/content/www/de/de/architecture-and-technology/intel-active-management-technology.html
2.
https://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/default.htm?turl=WordDocuments%2Fintelamtandusbversions1.htm
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150828/1ce81705/attachment.sig>
More information about the Warning
mailing list