[Warning] Sicherheitsproblem in Fernwartungstechnik Intel AMT (betrifft viele Systeme mit aktuellen Intel-Prozessoren)

Robert Waldner waldner at cert.at
Fri Aug 28 11:10:16 CEST 2015


28. August 2015

Beschreibung

   Wie das CERT-Bund (eine Einrichtung des deutschen Bundesamts für
   Sicherheit in der Informationstechnik) schreibt, gibt es ein
   potentiell kritisches Problem mit unprovisionierten Geräten, die
   Intel AMT[1] (Advanced Management Technology) - eine Technologie zur
   Fernwartung und Provisionierung von PCs im Business-Umfeld -
   einsetzen.

   Dies ist vor allem für Geräte relevant, die sich nicht ausschließlich
   in zugangsgeschützten Bereichen befinden - etwa Notebooks, sowie PCs
   in Räumen mit Parteien-/Kundenverkehr.

Details

   In manchen Situationen kann es sein, dass bloßes Anstecken eines
   entsprechend präparierten USB-Sticks für wenige Sekunden ausreicht,
   um die Kontrolle über ein System mit Intel AMT zu übernehmen.
   Da dies "unterhalb" eines Betriebssystems passiert, gibt es für
   Betriebssysteme kaum Möglichkeiten, dies zu verhindern, und auch ein
   Erkennen eines solchen Angriffs kann schwer bis unmöglich sein.

Auswirkungen

   Ein Angreifer hat potentiell vollen Zugriff auf ein betroffenes
   System, daher sind alle Daten auf diesen Systemen, sowie alle durch
   diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN,
   Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

   Nach den aktuell vorliegenden Informationen sind potentiell alle
   Geräte betroffen, die Intel-Prozessoren mit AMT (oft mit dem Zusatz
   "vPro" bei der Prozessor-Bezeichnung) und dazugehörige Chipsets mit
   Intel Management Engine (IME) bzw. Management Engine BIOS Extension
   (MEBx) benutzen. Eine genaue Eingrenzung ist uns aufgrund der großen
   Anzahl an möglichen Kombinationen von Prozessoren, Chipsets und
   Hersteller-spezifischen Erweiterungen/Anpassungen/Default-Settings
   leider momentan nicht möglich.
   Im Zweifelsfall empfehlen wir, auf der Webseite von Intel
   (http://intel.com/) nach der Prozessorbezeichnung zu suchen (etwa
   "i5-660") - wenn in den Produktspezifikationen unter "Advanced
   Technologies" "vPro" angegeben ist, ist die Wahrscheinlichkeit hoch,
   dass das System von diesem Problem betroffen ist.

   Einigen ersten Hinweisen nach ist Version 11 von Intel AMT (siehe
   Dokumentation der AMT-Versionen bei Intel[2]) nicht mehr für dieses
   Problem anfällig. Wir konnten das aber bislang nicht verifizieren.

Abhilfe

   Auf Geräten mit Intel AMT empfiehlt sich folgende Vorgangsweise:
     * Setzen eines BIOS-Passworts
     * Setzen eines Geräte-spezifischen Passworts für Intel AMT

   Reines Deaktivieren von Intel AMT via BIOS-Settings reicht leider oft
   nicht aus, und möglicherweise wird durch solches Deaktivieren das
   (bekannte) Standard-Passwort wieder gesetzt. Daher auch die
   Empfehlung, nicht nur ein AMT- sondern auch ein BIOS-Passwort zu
   setzen, und AMT ansonsten aktiviert zu lassen.

   (Die AMT-Konfiguration ist meist durch die Tastenkombination <Strg>+P
   während des Boot-Vorgangs zugänglich, wenn die Defaults nicht vom
   Hersteller geändert werden. Genaue Auskunft sollte die
   Bedienungsanleitung liefern.)

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
   Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
   möglichst für alle Arten von Browser-Plugins verwendet werden.
     __________________________________________________________________

   Informationsquelle(n):
   Kurzinfo CB-K15/1256 von CERT-Bund
   https://www.cert-bund.de/advisoryshort/CB-K15-1256
   Artikel dazu bei Heise Security

http://www.heise.de/security/meldung/BSI-warnt-vor-Risiko-bei-Intels-Fernwartungstechnik-AMT-2792791.html

References

   1.
http://www.intel.de/content/www/de/de/architecture-and-technology/intel-active-management-technology.html
   2.
https://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/default.htm?turl=WordDocuments%2Fintelamtandusbversions1.htm

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150828/1ce81705/attachment.sig>


More information about the Warning mailing list