Das Jahr fing schlimm an für Intel. Und so geht es auch weiter. Nicht nur die Hardware, auch die Software scheint erneut mit heißer Nadel gestrickt zu sein. Finnische Sicherheitsforscher der Firma F-Secure beschreiben einen weiteren Fehler in Intels Active Management Technology (AMT), einem Bestandteil der mit reichlich negativen Schlagzeilen behafteten Intel Managment Engine.
AMT wird in praktisch allen Desktops, Servern und Tablets, welche auf Intel vPro basieren, eingesetzt. Unter anderem sind dies die Intel-Core-i-Serien i3, i5, i7 und die Intel Xeon Prozessorfamilien. Unter Linux lässt sich recht einfach feststellen, ob AMT an Bord ist. Der Befehl lspci listet dann eine Zeile zu einem Communication Controller, die entweder die Kürzel HECI oder MEI enthält.
Noch eine Lücke in Intels ME
Zu den bereits bekannten Sicherheitsmängeln in Intels Active Management Technology (AMT) kommt nun eine weitere Lücke hinzu, die es Angreifern erlaubt, Anmeldeinformationen auf Firmen-Laptops zu umgehen. Wie F-Secure berichtet, erlauben unsichere Standardeinstellungen in Intel AMT es einem Eindringling, Benutzer- und BIOS-Passwörter sowie TPM- und Bitlocker-PINs vollständig zu umgehen und in 30 Sekunden in fast jeden Firmen-Laptop einzubrechen, wenn physischer Zugriff auf das Gerät besteht. Der neueste Fehler erhält seine Brisanz wegen der einfachen Ausnutzung. »Die Schwachstelle kann in Sekundenschnelle ohne eine einzige Codezeile ausgenutzt werden« berichteten die Entdecker bei F-Secure.
BIOS-Passwort verhindert den Angriff nicht
Das Setzen eines BIOS-Passworts, das normalerweise verhindert, dass ein unbefugter Benutzer das Gerät hochfährt oder Änderungen an ihm vornimmt, verhindert laut F-Secure nicht den Zugriff auf die AMT-BIOS-Erweiterung. Dies ermöglicht einem Angreifer Zugriff auf die Konfiguration von AMT und ermöglicht unter Umständen die Fernausnutzung. Um die Lücke auszunutzen muss ein Angreifer lediglich den Zielcomputer einschalten und während des Bootvorgangs die Tastenkombination STRG+P drücken. Der Angreifer kann sich dann mit dem Standardpasswort admin in die Intel Management Engine BIOS Extension (MEBx) einloggen, sofern hier kein neues Passwort gesetzt wurde. Im BIOS findet sich unter Security oder Config eine Option, AMT anzuschalten.
Laut F-Secure steht es dem Angreifer dann frei, das Standardkennwort zu ändern, den Fernzugriff zu aktivieren und das Benutzer-Opt-In von AMT auf None zu setzen. Harry Sintonen, Senior Security Consultant bei F-Secure, schreibt der Lücke ein hohes zerstörerisches Potential zu, wenn er sagt: »In der Praxis kann es einem Angreifer die vollständige Kontrolle über den Arbeitslaptop eines Einzelnen geben, trotz der umfangreichsten Sicherheitsmaßnahmen.«
Mit VPN-Support doppelt brisant
Der Angriff fällt wegen der sehr kurzen Zeit, die er zur Ausführung braucht in die Kategorie »evil maid attacks«. Notebooks in Hotelzimmern, alleingelassene Laptops im Büro sind für solche Angriffe anfällig. Potenziert wird das Problem bei neueren CPUs, die per AMT über VPN-Support verfügen. Hier steht dem Angreifer schnell das Firmennetzwerk offen.
Auch die Gerätehersteller in der Pflicht
Das Problem wird dadurch befördert, dass viele Gerätehersteller nicht in Einklang mit Intels nach den letzten Lücken im November 2017 nochmals überarbeiteten Anleitung (PDF) vorgehen und das Passwort bereits vor der Auslieferung ändern oder AMT standardmäßig deaktivieren. Den meisten Anwendern entgeht bisher die Problematik, selbst in vielen Unternehmen nehmen die Administratoren hier keine Änderungen vor. Sintonen rät, die AMT völlig abzuschalten, falls diese Option im BIOS angeboten wird. Auf jeden Fall sollte sie mit einem sicheren Passwort versehen werden. Obwohl Privatanwender hier nicht völlig außen vor sind, wird diese Lücke vermutlich eher in Unternehmen und Organisationen ausgenutzt.
Schreibe einen Kommentar