F-Secure meldet ein Sicherheitsproblem, das die meisten von Firmen ausgegebenen Laptops betrifft. Ein Angreifer mit Zugang zum Gerät kann es in weniger als einer Minute mit einer Hintertür ausstatten. Dabei lassen sich die Abfragen von Kennwörtern wie BIOS- oder Bitlocker-Passwörter oder TPM-Pins umgehen um einen Remote-Zugriff einzurichten. Erfolgreiche Angreifer können anschließend aus der Ferne auf die Systeme zugreifen. Die Schwachstelle existiert in Intels Active-Management-Technology (AMT) und betrifft Millionen Laptops weltweit.
Der Angriff sei „fast schon lächerlich einfach, er birgt aber ein enorm destruktives Potential“, sagt Harry Sintonen, der das Risiko als Senior Security Consultant bei F-Secure untersucht hat. „In der Praxis gibt sie einem Angreifer die komplette Kontrolle über Arbeits-Laptops, selbst wenn eigentlich umfangreiche Sicherheitsmaßnahmen eingerichtet wurden.“
Intel-AMT ist eine Lösung, mit der die IT-Abteilungen von Unternehmen firmeneigene Computer verwalten und aus der Ferne warten können. Das soll das Management vieler Unternehmens-PCs deutlich vereinfachen. Die Technik wurde bereits in der Vergangenheit mehrfach für Schwachstellen kritisiert. Die aktuelle Angriffsmethode setzt sich aufgrund der Einfachheit, mit der sie sich ausnutzen lässt, von anderen Meldungen ab. Sie bietet einen Zugriff in Sekunden, ohne dass eine einzige Code-Zeile notwendig ist.
Die Verwundbarkeit entsteht dadurch, dass ein gesetztes BIOS-Passwort nicht den Zugriff auf die AMT-BIOS-Erweiterung blockiert. Normalerweise verhindert dieses Kennwort, dass ein unerlaubter Nutzer das Gerät bootet oder Änderungen am BIOS vornimmt. Dadurch können Angreifer aber auf die AMT-Funktion zugreifen und diese sogar für den Zugriff aus der Ferne konfigurieren.
Ein Angreifer muss das Gerät lediglich neu starten oder hochfahren und während der Boot-Sequenz die Tastenkombination STRG + P gedrückt halten. Anschließend können sie sich bei der Intel-Management-Engine-BIOS-Extension (MEBx) anmelden. Das Standard-Passwort dafür lautet „admin“, in den meisten Umgebungen wird dieses nicht geändert. Nach dem Login kann der Angreifer das Kennwort ändern, den Remote-Zugriff aktivieren und Funktionen wie AMT User Opt-In deaktivieren. Ab diesem Zeitpunkt kann der oder die Angreifer über das Netzwerk auf die jeweiligen Rechner zugreifen. Dazu müssen sie lediglich mit dem gleichen LAN wie das Opfer verbunden sein. In einigen Fällen kann der Angreifer einen eigenen CIRA-Server eintragen, damit ist sogar ein Zugang von außerhalb des LANs möglich.
Obwohl der Angriff einen direkten Zugang zum Gerät voraussetzt, sieht Sintonen eine hohe Gefahr, dass die Lücke ausgenutzt wird. Eine Attacke lässt sich extrem schnell ausführen, perfekt für sogenannte Evil-Maid-Angriffe. „Stellen Sie sich vor, dass Sie Ihren Laptop im Hotelzimmer lassen und auf einen Drink an die Bar gehen. Der Angreifer bricht in Ihren Raum ein, konfiguriert den Laptop in weniger als einer Minute um und kann anschließend bequem vom eigenen Zimmer über das Hotel-WLAN auf Ihren Rechner zugreifen. Und weil dieser per VPN im Firmennetz hängt, stehen die Türen zu Unternehmensdaten offen.“ Sintonen weist darauf hin, dass es reicht, das Opfer eine Minute lang abzulenken. Das reicht schon, um in einem Coffee Shop oder einer Flughafen-Lounge eine Hintertür auf dem Notebook einzurichten.
Sintonen fand die Schwachstelle im Juli 2017, ein anderer Experte hatte die Attacke im Herbst* in einem Vortrag erwähnt. Deswegen ist es, dass Unternehmen jetzt aktiv werden und diese Hintertür schließen. Ein ähnliches potentielles Sicherheitsrisiko wurde bereits vom CERT-Bund publiziert, allerdings ging es dabei laut Sintonen vor allem um USB Provisioning.
Das Problem betrifft die meisten, wenn nicht alle Computer, die die Intel-Management-Engine und Intel-AMT unterstützen. Sie ist unabhängig von den kürzlich veröffentlichten Lücken Spectre und Meltdown.
Intel selbst empfiehlt zwar, dass das BIOS-Passwort notwendig ist, um Intel AMT zu aktivieren. Allerdings halten sich nur wenige Hersteller an diese Anweisung. Im Dezember 2017 hat das Unternehmen daher einen Ratschlag namens „Security Best Practices of Intel Active Management Technology Q&A“ veröffentlicht.
Empfehlungen
Für Endnutzer
- Lassen Sie Ihren Laptop nicht unbeobachtet an unsicheren Plätzen.
- Kontaktieren Sie Ihre IT-Abteilung, um das Gerät zu schützen.
- Sollten Sie sich selbst um die Administration kümmern, ändern Sie das AMT-Kennwort auf ein starkes Passwort, selbst wenn Sie die Funktion nicht nutzen möchten. Falls möglich, deaktivieren Sie Intel AMT. Sollte das Kennwort nicht dem Standard-Passwort entsprechen, gehen Sie davon aus, dass das Gerät kompromittiert wurde.
Für Unternehmen
- Ändern Sie die Provisionierung so ab, dass ein starkes Kennwort für Intel AMT vergeben wird. Deaktivieren Sie AMT falls möglich.
- Untersuchen Sie alle aktuell im Einsatz befindlichen Geräte und ändern Sie das AMT-Kennwort. Sollte dieses bei einzelnen Geräten bereits auf einen unbekannten Wert gesetzt sein, gehen Sie davon aus, dass das Gerät kompromittiert wurde und untersuchen Sie den Zwischenfall.
Info: Parth Shukla, Google, October 2017 “Intel AMT: Using & Abusing the Ghost in the Machine”
#Netzpalaver #FSecure
