Intel: Sicherheitsproblem im Active Management

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33881
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Intel: Sicherheitsproblem im Active Management

Beitrag von doelf » 15 Jan 2018, 09:54

Erst Intels Management Engine, dann Intels CPU-Architektur und nun Intels Active Management Technology: Abermals melden Sicherheitsforscher, diesmal von der norwegischen Firma F-Secure, ein gravierendes Sicherheitsproblem beim Chipriesen. Beim 30-Sekunden-Angriff auf Unternehmens-PCs trifft Intel allerdings nur ein Teil der Schuld.

Hintergrund: AMT und ME
Intels "Active Management Technology" (AMT) richtet sich an Unternehmen und baut auf der "Management Engine" (ME), welche auch in Endkundenprodukten zu finden ist, auf. Die ME ist ein eigenständiger Mikrocontroller, der über die permanent anliegende +5V-Schiene des Netzteils versorgt wird. Ist das Netzteil eingeschaltet, dann läuft auch die ME - selbst dann, wenn sich der PC eigentlich im Standby befindet. Die ME läuft auch im Hintergrund, wenn das Betriebssystem geladen ist. Im Prinzip handelt es sich um einen gekapselten Rechner innerhalb des Prozessors, auf den weder der Benutzer noch das Betriebssystem zugreifen können, der selbst aber umfangreichen Zugriff auf die gesamte Hardware hat. Über AMT lassen sich kompatible PCs über die ME aus der Ferne warten. Die Möglichkeiten umfassen das Ein- und Ausschalten des Rechners, das Aktualisieren und Konfigurieren der UEFI-Firmware (BIOS), das Umleiten von Tastatur, Maus und Bildschirmausgabe (integrierter KVM) sowie die Überwachung des Netzwerkverkehrs.

Die AMT-Schwachstelle
Kurzum: Wer auf einen Rechner über AMT zugreifen kann, kontrolliert diesen auch. Firmen versuchen daher, ihre Computer mit UEFI-Passwörtern und der Festplattenverschlüsselung Bitlocker vor nicht autorisierten Zugriffen zu schützen. Dies gilt insbesondere für Notebooks, welche Mitarbeiter im Außeneinsatz verwenden. Allerdings reicht es aus, wenn der Mitarbeiter seinen Computer für 30 Sekunden aus den Augen lässt. Ein Dritter kann den Rechner dann neu starten und hält dabei die Tasten STRG + P gedrückt, womit er die Anmeldung der "Management Engine BIOS Extension" (MEBx) aufruft. Dort lautet das standardmäßig gesetzte Passwort "admin" und dieses wird laut F-Secure nur selten geändert. Das UEFI-Passwort deckt den Zugriff auf die MEBx übrigens nicht ab. Nun setzt der Angreifer ein eigenes Passwort, aktiviert den KVM-Zugriff aus der Ferne und deaktiviert die optionale Zustimmung des Benutzers. Solange sich der Angreifer im selben Netzwerk wie sein Opfer befindet, kann er nach Belieben auf dessen Rechner zugreifen.

Das Angriffsszenario
Letzteres scheint die Angriffsmöglichkeiten stark einzuschränken, doch es gibt es ganz typisches Szenario: Auch Firmen-Notebooks nutzen oftmals die WLAN-Netze von Hotels und Restaurants, um Zugriff auf das Firmennetz zu nehmen. Hierbei soll die Verwendung von "Virtual Private Networks" (VPNs) eine sichere Kommunikation sicherstellen. Doch ein Angreifer im selben WLAN hat die volle Kontrolle über den per AMT übernommenen Computer und kann über dessen VPN-Verbindung auch ins gesicherte Firmennetzwerk vordringen - und das macht diesen Angriff insbesondere für Industriespione höchst interessant.

Die Abhilfe
Firmen, die sich gegen AMT-Angriffe absichern wollen, müssen lediglich ein eigenes Passwort für den Zugriff auf die MEBx setzen. Intel selbst empfiehlt den PC-Herstellern ausdrücklich, das UEFI-Passwort zugleich auch für AMT zu setzen, doch dies wird bisher zumeist ignoriert. Insofern kann man dieses Problem Intel auch nur bedingt ankreiden. Insbesondere die IT-Abteilungen der Unternehmen sind gefragt, die AMT-Passwörter der betreuten Computer zu kontrollieren und gegebenenfalls nachzubessern.

Quelle:
https://press.f-secure.com/2018/01/12/i ... e-laptops/
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten