2. Update: Sicherheitsproblem in Fernwartungstechnik Intel AMT (betrifft viele Systeme mit aktuellen Intel-Prozessoren)
28. August 2015
Update 28. August 2015, 12:55h
2. Update, 14. Oktober 2015, 12h
Da dies "unterhalb" eines Betriebssystems passiert, gibt es für Betriebssysteme kaum Möglichkeiten, dies zu verhindern, und auch ein Erkennen eines solchen Angriffs kann schwer bis unmöglich sein.
Im Zweifelsfall empfehlen wir, auf der Webseite von Intel nach der Prozessorbezeichnung zu suchen (etwa "i5-660") - wenn in den Produktspezifikationen unter "Advanced Technologies" "vPro" angegeben ist, ist die Wahrscheinlichkeit hoch, dass das System von diesem Problem betroffen ist.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):
Kurzinfo CB-K15/1256 von CERT-Bund
https://www.cert-bund.de/advisoryshort/CB-K15-1256
Artikel dazu bei Heise Security
http://www.heise.de/security/meldung/BSI-warnt-vor-Risiko-bei-Intels-Fernwartungstechnik-AMT-2792791.html
Informationen von Intel zu diesem Themenkomplex (englisch)
https://downloadcenter.intel.com/download/25423
2. Update, 14. Oktober 2015, 12h
Beschreibung
Wie das CERT-Bund (eine Einrichtung des deutschen Bundesamts für Sicherheit in der Informationstechnik) schreibt, gibt es ein potentiell kritisches Problem mit unprovisionierten Geräten, die Intel AMT (Advanced Management Technology) - eine Technologie zur Fernwartung und Provisionierung von PCs im Business-Umfeld - einsetzen.Dies ist vor allem für Geräte relevant, die sich nicht ausschließlich in zugangsgeschützten Bereichen befinden - etwa Notebooks, sowie PCs in Räumen mit Parteien-/Kundenverkehr.
Details
In manchen Situationen kann es sein, dass bloßes Anstecken eines entsprechend präparierten USB-Sticks für wenige Sekunden ausreicht, um die Kontrolle über ein System mit Intel AMT zu übernehmen.Da dies "unterhalb" eines Betriebssystems passiert, gibt es für Betriebssysteme kaum Möglichkeiten, dies zu verhindern, und auch ein Erkennen eines solchen Angriffs kann schwer bis unmöglich sein.
Auswirkungen
Ein Angreifer hat potentiell vollen Zugriff auf ein betroffenes System, daher sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.Betroffene Systeme
Nach den aktuell vorliegenden Informationen sind potentiell alle Geräte betroffen, die Intel-Prozessoren mit AMT (oft mit dem Zusatz "vPro" bei der Prozessor-Bezeichnung) und dazugehörige Chipsets mit Intel Management Engine (IME) bzw. Management Engine BIOS Extension (MEBx) benutzen. Eine genaue Eingrenzung ist uns aufgrund der großen Anzahl an möglichen Kombinationen von Prozessoren, Chipsets und Hersteller-spezifischen Erweiterungen/Anpassungen/Default-Settings leider momentan nicht möglich.Im Zweifelsfall empfehlen wir, auf der Webseite von Intel nach der Prozessorbezeichnung zu suchen (etwa "i5-660") - wenn in den Produktspezifikationen unter "Advanced Technologies" "vPro" angegeben ist, ist die Wahrscheinlichkeit hoch, dass das System von diesem Problem betroffen ist.
Update 28. August 2015, 12:55h
Wir bekamen das Feedback, dass in der auf Deutsch lokalisierten Version der Intel-Homepage bei manchen Benutzern die Suche nach Prozessorbezeichnungen nicht zufriedenstellend funktioniert. Wir empfehlen daher, auf http://ark.intel.com/ zu suchen, dies funktioniert auch bei den von uns getesteten lokalisierten Versionen der Intel-Homepage.
Wir bekamen das Feedback, dass in der auf Deutsch lokalisierten Version der Intel-Homepage bei manchen Benutzern die Suche nach Prozessorbezeichnungen nicht zufriedenstellend funktioniert. Wir empfehlen daher, auf http://ark.intel.com/ zu suchen, dies funktioniert auch bei den von uns getesteten lokalisierten Versionen der Intel-Homepage.
Einigen ersten Hinweisen nach ist Version 11 von Intel AMT (siehe Dokumentation der AMT-Versionen bei Intel) nicht mehr für dieses Problem anfällig. Wir konnten das aber bislang nicht verifizieren.
2. Update, 14. Oktober 2015, 12h
Informationen von Intel zu diesem Themenkomplex: https://downloadcenter.intel.com/download/25423
Informationen von Intel zu diesem Themenkomplex: https://downloadcenter.intel.com/download/25423
Abhilfe
Auf Geräten mit Intel AMT empfiehlt sich folgende Vorgangsweise:- Setzen eines BIOS-Passworts
- Setzen eines Geräte-spezifischen Passworts für Intel AMT
(Die AMT-Konfiguration ist meist durch die Tastenkombination <Strg>+P während des Boot-Vorgangs zugänglich, wenn die Defaults nicht vom Hersteller geändert werden. Genaue Auskunft sollte die Bedienungsanleitung liefern.)
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):
Kurzinfo CB-K15/1256 von CERT-Bund
https://www.cert-bund.de/advisoryshort/CB-K15-1256
Artikel dazu bei Heise Security
http://www.heise.de/security/meldung/BSI-warnt-vor-Risiko-bei-Intels-Fernwartungstechnik-AMT-2792791.html
Informationen von Intel zu diesem Themenkomplex (englisch)
https://downloadcenter.intel.com/download/25423