Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Zeit für eine AMTshandlung?

8. Mai 2017

Letzte Woche veröffentlichte Intel ein Advisory über eine Schwachstelle in "Intel Active Management Technology", kurz AMT. Besagte Schwachstelle erlaubt einem Angreifer, auf einem Rechner mit aktiviertem AMT, die Zugriffskontrollen für eben jenes auszuhebeln, und so administrativen Zugriff zu erlangen - die Features von AMT enthalten, unter anderem, die Einbindung eines Images oder, unter bestimmten Umständen, Konsolenzugriff auf das installierte Betriebssystem.

Zwar gibt Intel selbst an, dass die Schwachstelle Consumer-Geräte nicht betrifft, es ist inzwischen jedoch bestätigt, dass nicht wenige aktuelle Notebooks zumindest theoretischen Support für AMT besitzen. Es gibt mehrere Wege, das Vorhandensein von Intel AMT auf dem eigenen Rechner zu überprüfen, die einfachsten sind:

  • Von extern prüfen, ob einer oder mehrere der TCP-Ports 16993, 16992, 16994, 16995, 623 oder 624 offen sind
  • Prüfen, ob die "Intel Management Engine BIOS Extension" vorhanden ist; diese erreicht man je nach System durch Drücken von CTRL+P während des Bootvorgangs
  • Prüfen des BIOS, ob die Intel AMT-Version aufgeführt wird
  • Nutzung des von Intel bereitgestellten Prüftools

Kurz gefasst ist zu sagen, dass die Sicherheitslücke ein technischer Totalschaden für Intel ist; eine Behebung würde eine Aktualisierung der Firmware benötigen, jedoch erhalten wohl nicht alle der betroffenen Chipsätze überhaupt noch solche Updates (zur Erinnerung: betroffen sind alle Intel Generationen seit Nehalem - diese feiert heuer ihr zehnjähriges Jubiläum), und da diese Firmwareupdates nicht über Windows-Update bereitgestellt werden, ist die Chance, dass besagte Updates flächendeckend eingespielt werden würden, noch geringer.

Die Bedrohung für die Allgemeinheit hält sich allerdings dennoch in Grenzen. Die Zahlen, die Shodan zu dem Thema hat, sind mit etwas mehr als 6000 Hosts weltweit nicht erschreckend hoch, was vor allem daran liegt, dass AMT in den meisten Fällen explizit aktiviert werden muss. Endbenutzer haben dazu keinen Anreiz, und die meisten Unternehmen nutzen für denselben Zweck andere Lösungen (z.B. IPMI, iLO, ..). Auch die bisher kolportierten Angrifsszenarien sind, trotz öffentlich vorhandenem Proof-of-Concept, sehr spezifisch und nicht direkt für die breite Masse gefährlich. Das Fazit ist hier recht klar, dass wir alle sterben werden - aber nicht an dieser Schwachstelle.

Autor: Alexander Riepl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren
21. November 2017 Beschreibung Wie ...
Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
16. Oktober 2017 | Beschreibung Adobe ...
mehr ...
Es steht KRACK auf dem Speiseplan!
16. Oktober 2017 | Auch ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2017/5/8 - 18:13:23
Haftungsausschluss