- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Angriff sei "fast schon lächerlich einfach"


Schwaches Passwort in Intel AMT erlaubt Angreifern Remote-Zugriff auf Firmen-Laptops
Aufgrund unsicherer Standardeinstellungen in Intel AMT können Angreifer das Nutzer- und BIOS-Passwort sowie Bitlocker- oder TMP-Schutz umgehen und innerhalb von Sekunden Hintertüren in Firmen-Laptops einrichten.

- Anzeigen -





F-Secure meldet ein Sicherheitsproblem, das die meisten von Firmen ausgegebenen Laptops betrifft. Ein Angreifer mit Zugang zum Gerät kann es in weniger als einer Minute mit einer Hintertür ausstatten. Dabei lassen sich die Abfragen von Kennwörtern wie BIOS- oder Bitlocker-Passwörter oder TPM-Pins umgehen um einen Remote-Zugriff einzurichten. Erfolgreiche Angreifer können anschließend aus der Ferne auf die Systeme zugreifen. Die Schwachstelle existiert in Intels Active Management Technology (ATM) und betrifft Millionen Laptops weltweit.

Der Angriff sei "fast schon lächerlich einfach, er birgt aber ein enorm destruktives Potential", sagt Harry Sintonen, der das Risiko als Senior Security Consultant bei F-Secure untersucht hat. "In der Praxis gibt sie einem Angreifer die komplette Kontrolle über Arbeits-Laptops, selbst wenn eigentlich umfangreiche Sicherheitsmaßnahmen eingerichtet wurden."

Intel AMT ist eine Lösung, mit der die IT-Abteilungen von Unternehmen firmeneigene Computer verwalten und aus der Ferne warten können. Das soll das Management vieler Unternehmens-PCs deutlich vereinfachen. Die Technik wurde bereits in der Vergangenheit mehrfach für Schwachstellen kritisiert. Die aktuelle Angriffsmethode setzt sich aufgrund der Einfachheit, mit der sie sich ausnutzen lässt, von anderen Meldungen ab. Sie bietet einen Zugriff in Sekunden, ohne dass eine einzige Code-Zeile notwendig ist.

Die Verwundbarkeit entsteht dadurch, dass ein gesetztes BIOS-Passwort nicht den Zugriff auf die AMT BIOS-Erweiterung blockiert. Normalerweise verhindert dieses Kennwort, dass ein unerlaubter Nutzer das Gerät bootet oder Änderungen am BIOS vornimmt. Dadurch können Angreifer aber auf die AMT-Funktion zugreifen und diese sogar für den Zugriff aus der Ferne konfigurieren.

Ein Angreifer muss das Gerät lediglich neu starten oder hochfahren und während der Boot-Sequenz die Tastenkombination STRG + P gedrückt halten. Anschließend können sie sich bei der Intel Management Engine BIOS Extension (MEBx) anmelden. Das Standard-Passwort dafür lautet "admin", in den meisten Umgebungen wird dieses nicht geändert. Nach dem Login kann der Angreifer das Kennwort ändern, den Remote-Zugriff aktivieren und Funktionen wie AMT User Opt-In deaktivieren. Ab diesem Zeitpunkt könner der oder die Angreifer über das Netzwerk auf die jeweiligen Rechner zugreifen. Dazu müssen sie lediglich mit dem gleichen LAN wie das Opfer verbunden sein. In einigen Fällen kann der Angreifer einen eigenen CIRA-Server eintragen, damit ist sogar ein Zugang von außerhalb des LANs möglich.

Obwohl der Angriff einen direkten Zugang zum Gerät voraussetzt, sieht Sintonen eine hohe Gefahr, dass die Lücke ausgenutzt wird. Eine Attacke lässt sich extrem schnell ausführen, perfekt für sogenannte Evil-Maid-Angriffe. "Stellen Sie sich vor, dass Sie Ihren Laptop im Hotelzimmer lassen und auf einen Drink an die Bar gehen. Der Angreifer bricht in Ihren Raum ein, konfiguriert den Laptop in weniger als einer Minute um und kann anschließend bequem vom eigenen Zimmer über das Hotel-WLAN auf Ihren Rechner zugreifen. Und weil dieser per VPN im Firmennetz hängt, stehen die Türen zu Unternehmensdaten offen." Sintonen weist darauf hin, dass es reicht, das Opfer eine Minute lang abzulenken. Das reicht schon, um in einem Coffee Shop oder einer Flughafen-Lounge eine Hintertür auf dem Notebook einzurichten.

Sintonen fand die Schwachstelle im Juli 2017, ein anderer Experte hatte die Attacke im Herbst (Parth Shukla, Google, October 2017 "Intel AMT: Using & Abusing the Ghost in the Machine") in einem Vortrag erwähnt. Deswegen ist es, dass Unternehmen jetzt aktiv werden und diese Hintertür schließen. Ein ähnliches potentielles Sicherheitsrisiko wurde bereits vom CERT Bund publiziert, allerdings ging es dabei laut Sintonen vor allem um USB Provisioning.

Das Problem betrifft die meisten, wenn nicht alle Computer, die die Intel Management Engine und Intel AMT unterstützen. Sie ist unabhängig von den kürzlich veröffentlichten Lücken Spectre und Meltdown.

Intel selbst empfiehlt zwar, dass das BIOS Passwort notwendig ist, um Intel AMT zu aktivieren. Allerdings halten sich nur wenige Hersteller an diese Anweisung. Im Dezember 2017 hat das Unternehmen daher einen Ratschlag namens "Security Best Practices of Intel Active Management Technology Q&A" veröffentlicht.

Empfehlungen

Für Endnutzer
>> Lassen Sie Ihren Laptop nicht unbeobachtet an unsicheren Plätzen.
>> Kontaktieren Sie Ihre IT-Abteilung, um das Gerät zu schützen.
>> Sollten Sie sich selbst um die Administration kümmern, ändern Sie das AMT-Kennwort auf ein starkes Passwort, selbst wenn Sie die Funktion nicht nutzen möchten. Falls möglich, deaktivieren Sie Intel AMT. Sollte das Kennwort nicht dem Standard-Passwort entsprechen, gehen Sie davon aus, dass das Gerät kompromittiert wurde.

Für Unternehmen
>> Ändern Sie die Provisionierung so ab, dass ein starkes Kennwort für Intel AMT vergeben wird. Deaktivieren Sie AMT falls möglich.
>> Untersuchen Sie alle aktuell im Einsatz befindlichen Geräte und ändern Sie das AMT-Kennwort. Sollte dieses bei einzelnen Geräten bereits auf einen unbekannten Wert gesetzt sein, gehen Sie davon aus, dass das Gerät kompromittiert wurde und untersuchen Sie den Zwischenfall.
(F-Secure: ra)

eingetragen: 13.01.18
Newsletterlauf: 23.02.18


F5 Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Vorhandene Sicherheitseinstellungen aktivieren

    Oft findet der Router erst dann Beachtung, wenn das WLAN nicht funktioniert. Beim Schutz ihrer Geräte vor Hackern und Malware wird das Gerät hingegen häufig vergessen. Denn was Sicherheitseinstellungen betrifft, bekommen Heimanwender nicht immer ein Rundum-Sorglos-Paket mitgeliefert. Ungeschützt kann ein Router Angreifern Tür und Tor öffnen. Dabei tragen schon einige Maßnahmen dazu bei, die Sicherheit des Heimnetzwerks enorm zu verbessern. Eset gibt Tipps, wie Nutzer ihren Router sichern und so ihre Geräte und persönliche Daten noch besser schützen können.

  • Ransomware & Sicherheit am Arbeitsplatz

    Aufgrund der fortschreitenden Digitalisierung ändert sich auch die Arbeitsweise in Unternehmen. Mobile Geräte wie Smartphones und Tablets gehören längst zum beruflichen Alltag. Hacker passen ihre Vorgehensweise an diese moderne Arbeitsweise an. Mit gezielten Cyberattacken sind sie zunehmend in der Lage, herkömmliche Schutzsysteme zu umgehen. Stormshield informiert auf seinem Unternehmensblog über die perfiden Maschen der Angreifer und gibt nützliche Tipps zur Abwehr von betrügerischer Schadsoftware (Malware).

  • Fake-Profile und Schadsoftware

    Wer auf einen Treffer von Amors Pfeil wartet, sucht sein Glück inzwischen oft online, insbesondere bei Dating-Apps. Nicht umsonst gilt LOVOO als die aktuell erfolgreichste iPhone-App in Deutschland. Laut Bitkom nutzen rund 47 Prozent der Deutschen ihr Smartphone für den Onlineflirt, 42 Prozent ihr Tablet und immerhin noch 34 Prozent suchen mit dem Laptop nach einem potentiellen Partner. Doch beim heißen Online-Flirt gibt es einiges zu beachten, damit die Partnersuche so sicher wie möglich verläuft. Eset gibt Tipps, damit aus der vermeintlichen großen Liebe keine böse Überraschung wird.

  • Gezielte Lobbyarbeit der Elektrobranche?

    "Müssen wir Brandschutzschalter im RZ installieren und/oder nachrüsten? Wie viele und an welchen Stellen?" Diese Frage stellen sich mehr und mehr Rechenzentrumsbetreiber und -verantwortliche, die durch den zurzeit zu beobachtenden Hype rund um diese Sicherheitstechnik verunsichert sind. Die Antwort der von zur Mühlen'sche Sicherheitsberatung aus Bonn (kurz: VZM) lautet: in zwingender Weise KEINE.

  • Was macht Cybersecurity so kompliziert?

    Spätestens nach den jüngsten Schwachstellen Spectre und Meltdown weiß jeder, dass das Thema Cybersecurity nie an Präsenz verliert und jeden betrifft. Dies gilt nicht nur für Unternehmen, sondern auch für Privatanwender: Cyberkriminelle erfassen Passwörter noch während des Tippens, installieren Malware und fangen so sämtliche Daten unbemerkt ab. Oder sie spähen über Browserdaten Kreditkartendaten und Logins aus. Doch was macht Cybersecurity so kompliziert? Im Falle von Spectre und Meltdown handelt es sich zwar um Schwachstellen in Prozessoren. Doch in vielen anderen Fällen verstehen User die komplexen Methoden, die Kriminelle anwenden, um an geschäftskritische Daten zu gelangen. Sie tendieren jedoch dazu, das tatsächliche Risiko von Angriffen herunterzuspielen. Es ist ein ewiger Kreislauf: Der Endanwender fühlt sich durch die IT-Vorrichtungen geschützt und der IT-Verantwortliche schätzt den User als wachsamer und vorsichtiger ein, als er tatsächlich ist.