Schweres Sicherheitsleck in Intels Active Management Technologie entdeckt

Unsichere Standardeinstellungen in Intels Active Management Technology (AMT) gefährden die meisten Firmen-Notebooks und damit Millionen Geräte weltweit, meldet die Sicherheitsfirma F-Secure. Demnach erlauben sie einem Angreifer mit Zugang zum Gerät, in weniger als 30 Sekunden eine Hintertür zu installieren.

Durch dieses Sicherheitsproblem wäre es möglich, eine ansonsten erforderliche Eingabe von Anmeldedaten einschließlich BIOS-Passwort, Bitlocker-Passwort und TPM-PIN zu umgehen. “Es ist fast trügerisch einfach auszunutzen, aber es hat ein unglaublich zerstörerisches Potential”, kommentiert Harry Sintonen, Senior Security Consultant bei F-Secure. “In der Praxis kann es einem Angreifer die vollständige Kontrolle über den Arbeits-Laptop eines Nutzers geben – selbst bei umfangreichsten Sicherheitsvorkehrungen.”

Intel AMT ermöglicht die Fernwartung von PCs. Sie setzt auf der Intel Management Engine (ME) auf und ist in Enterprise-Hardware anzutreffen, zu der Desktop-PCs ebenso wie Notebooks für den geschäftlichen Einsatz zählen. Voraussetzung dafür sind Core-Prozessoren oder Xeon-Prozessoren mit vPro. AMT und ME fielen schon mehrfach durch kritische Sicherheitslücken auf.

Die jetzt gemeldete Schwachstelle steht nicht im Zusammenhang mit den Sicherheitslecks Spectre und Meltdown und ist laut Sicherheitsforscher Harry Sintonen extrem einfach zu nutzen. Sie sei im Grunde darauf zurückzuführen, dass auch ein gesetztes BIOS-Passwort nicht den unautorisierten Zugriff auf die AMT-BIOS-Erweiterung verhindert. Das erlaube dem Angreifer, AMT zu konfigurieren und spätere Zugriffe aus der Ferne vorzubereiten.

Wie Sintonen entdeckte, muss ein Angreifer nur das Notebook hochfahren oder einen Neustart durchführen – und während des Bootvorgangs Ctrl-P drücken. Das erlaube ihm, sich in der Intel Management Engine BIOS Extension (MEBx) mit dem Standard-Passwort “admin” anzumelden, das auf Firmen-Notebooks in den meisten Fällen ungeändert bleibe. Somit wird es möglich, das Passwort zu ändern und Fernzugriff zu ermöglichen. In der Folge kann der Angreifer aus der Ferne auch drahtlos auf das System zugreifen, solange er sich im selben Netzwerksegment wie das Opfer befindet. Auch von außerhalb des lokalen Netzwerks wäre ein Angriff möglich über einen vom Angreifer betriebenen CIRA-Server.

Auch wenn zunächst ein direkter Zugang zum Gerät erforderlich ist, hält Sintonen die Schwachstelle aufgrund des minimalen Zeitaufwands in einem Evil-Maid-Szenario für leicht ausnutzbar. Es genüge etwa, den Laptop in einem Hotelzimmer zu lassen, während man sich einen Drink genehmigt – ein Angreifer könnte in den Raum eindringen und den Laptop in weniger als einer Minute kompromittieren. Auch wäre es möglich, eine Zielperson am Flughafen oder in einem Café eine Minute abzulenken, während eine andere Person sich den Laptop vornimmt.

Grundsätzlich empfiehlt F-Secure daher, geschäftliche Notebooks an unsicheren Orten nie unbeobachtet zu lassen. Einzelne Nutzer betroffener Geräte sollten ein starkes AMT-Passwort vergeben oder AMT deaktivieren, wenn sie es ohnehin nicht einsetzen wollen. Verdächtig sei, wenn bereits ein neues und unbekanntes Passwort vergeben wurde. Organisationen empfehlen die Sicherheitsexperten, schon im Bereitstellungsverfahren für ein starkes AMT-Passwort zu sorgen und gegebenenfalls AMT zu deaktivieren, wenn diese Option verfügbar ist. Alle gegenwärtig eingesetzten Geräte sollten mit starkem AMT-Passwort konfiguriert werden. In einer FAQ gibt die Sicherheitsfirma weitere Hinweise.

Intel räumte das Problem gegenüber ZDNet.com ein, schob es aber den Notebook-Herstellern zu. “Einige Systemhersteller haben ihre Systeme nicht konfiguriert, um die Intel Management Engine BIOS Extension (MEBx) zu schützen”, erklärte ein Intel-Sprecher. Das Unternehmen habe 2015 einen Leitfaden für die besten Vorgehensweisen bei der Konfiguration bereitgestellt und im November 2017 aktualisiert. “Wir empfehlen OEMs dringend, ihre Systeme für maximale Sicherheit zu konfigurieren.”

[mit Material von Danny Palmer, ZDNet.com]