2323818

Lücke erlaubt blitzschnelles Hacken eines Firmen-Laptops

15.01.2018 | 12:53 Uhr |

Über eine Lücke in Intel AMT können Angreifer sich binnen Sekunden den Zugriff auf Laptops verschaffen. So schützen Sie sich.

Die Sicherheitsexperten von F-Secure warnen vor einer Lücke in Intel AMT, die es Angreifern erlaubt, binnen weniger Sekunden die Kontrolle über Notebooks zu übernehmen. Schuld daran sind unsichere Standardeinstellungen in Intel AMT, durch die Angreifer das Nutzer- und BIOS-Passwort und den Bitlocker- und TMP-Schutz umgehen können, um Hintertüren auf den Geräten zu installieren.

Betroffen sind Firmen-Notebooks, in denen Intels Active Management Technology (ATM) zum Einsatz kommt, wodurch die Geräte von IT-Abteilungen verwaltet und aus der Ferne gewartet werden können. Intel AMT stand schon öfters wegen Sicherheitsproblemen in der Kritik. Bei der neuesten Schwachstelle bezeichnet F-Secure Angriffe als „fast schon lächerlich einfach“.

Zunächst muss sich der Angreifer aber einen physischen Zugriff auf das Notebook verschaffen. Die Verwundbarkeit selbst entsteht laut F-Secure dadurch, dass ein gesetztes BIOS-Passwort nicht den Zugriff auf die AMT BIOS-Erweiterung blockiere. Ein Angreifer müsse das Notebook nur neu starten und beim Hochfahren während der Boot-Sequenz die Tastenkombination Strg + P gedrückt halten. Anschließend könne er sich dann bei der Intel Management Engine BIOS Extension (MEBx) anmelden. Hierfür genüge das in vielen Fällen aktive Standard-Passwort „admin“. Einmal im System, könne der Angreifer schließlich das Kennwort ändern, den Remote-Zugriff aktivieren oder Funktionen wie AMT User Opt-In deaktivieren.  

„Ab diesem Zeitpunkt kann der oder die Angreifer über das Netzwerk auf die jeweiligen Rechner zugreifen. Dazu müssen sie lediglich mit dem gleichen LAN wie das Opfer verbunden sein. In einigen Fällen kann der Angreifer einen eigenen CIRA-Server eintragen, damit ist sogar ein Zugang von außerhalb des LANs möglich“, warnt F-Secure.

Wie bereits erwähnt, muss der Angreifer sich erstmal einen Zugriff zum Notebook verschaffen. Dieser ist allerdings nur für wenige Sekunden notwendig. F-Secure betont außerdem, dass die Lücke in Intel AMT völlig unabhängig von den CPU-Lücken Spectre und Meltdown sei.

Um sich vor Angriffen zu schützen, gibt F-Secure folgende Empfehlungen:


Für Endnutzer

  • Lassen Sie Ihren Laptop nicht unbeobachtet an unsicheren Plätzen.

  • Kontaktieren Sie Ihre IT-Abteilung, um das Gerät zu schützen.

  • Sollten Sie sich selbst um die Administration kümmern, ändern Sie das AMT-Kennwort auf ein starkes Passwort, selbst wenn Sie die Funktion nicht nutzen möchten. Falls möglich, deaktivieren Sie Intel AMT. Sollte das Kennwort nicht dem Standard-Passwort entsprechen, gehen Sie davon aus, dass das Gerät kompromittiert wurde.

Für Unternehmen

  • Ändern Sie die Provisionierung so ab, dass ein starkes Kennwort für Intel AMT vergeben wird. Deaktivieren Sie AMT falls möglich.

  • Untersuchen Sie alle aktuell im Einsatz befindlichen Geräte und ändern Sie das AMT-Kennwort. Sollte dieses bei einzelnen Geräten bereits auf einen unbekannten Wert gesetzt sein, gehen Sie davon aus, dass das Gerät kompromittiert wurde und untersuchen Sie den Zwischenfall.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2323818