Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Zeit für eine AMTshandlung?

8. Mai 2017

Letzte Woche veröffentlichte Intel ein Advisory über eine Schwachstelle in "Intel Active Management Technology", kurz AMT. Besagte Schwachstelle erlaubt einem Angreifer, auf einem Rechner mit aktiviertem AMT, die Zugriffskontrollen für eben jenes auszuhebeln, und so administrativen Zugriff zu erlangen - die Features von AMT enthalten, unter anderem, die Einbindung eines Images oder, unter bestimmten Umständen, Konsolenzugriff auf das installierte Betriebssystem.

Zwar gibt Intel selbst an, dass die Schwachstelle Consumer-Geräte nicht betrifft, es ist inzwischen jedoch bestätigt, dass nicht wenige aktuelle Notebooks zumindest theoretischen Support für AMT besitzen. Es gibt mehrere Wege, das Vorhandensein von Intel AMT auf dem eigenen Rechner zu überprüfen, die einfachsten sind:

  • Von extern prüfen, ob einer oder mehrere der TCP-Ports 16993, 16992, 16994, 16995, 623 oder 624 offen sind
  • Prüfen, ob die "Intel Management Engine BIOS Extension" vorhanden ist; diese erreicht man je nach System durch Drücken von CTRL+P während des Bootvorgangs
  • Prüfen des BIOS, ob die Intel AMT-Version aufgeführt wird
  • Nutzung des von Intel bereitgestellten Prüftools

Kurz gefasst ist zu sagen, dass die Sicherheitslücke ein technischer Totalschaden für Intel ist; eine Behebung würde eine Aktualisierung der Firmware benötigen, jedoch erhalten wohl nicht alle der betroffenen Chipsätze überhaupt noch solche Updates (zur Erinnerung: betroffen sind alle Intel Generationen seit Nehalem - diese feiert heuer ihr zehnjähriges Jubiläum), und da diese Firmwareupdates nicht über Windows-Update bereitgestellt werden, ist die Chance, dass besagte Updates flächendeckend eingespielt werden würden, noch geringer.

Die Bedrohung für die Allgemeinheit hält sich allerdings dennoch in Grenzen. Die Zahlen, die Shodan zu dem Thema hat, sind mit etwas mehr als 6000 Hosts weltweit nicht erschreckend hoch, was vor allem daran liegt, dass AMT in den meisten Fällen explizit aktiviert werden muss. Endbenutzer haben dazu keinen Anreiz, und die meisten Unternehmen nutzen für denselben Zweck andere Lösungen (z.B. IPMI, iLO, ..). Auch die bisher kolportierten Angrifsszenarien sind, trotz öffentlich vorhandenem Proof-of-Concept, sehr spezifisch und nicht direkt für die breite Masse gefährlich. Das Fazit ist hier recht klar, dass wir alle sterben werden - aber nicht an dieser Schwachstelle.

Autor: Alexander Riepl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Ransomware/Wurm WannaCry
14. Mai 2017 | Seit ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
mehr ...
In eigener Sache: Umstellung der Tageszusammenfassungen
19. Juni 2017 | In der ...
In eigener Sache: Umstellung auf wöchentliches Wartungsfenster
9. Juni 2017 | Um die ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2017/5/8 - 18:13:23
Haftungsausschluss