10.05.2017

Sicherheitslücke bei Intel AMT

Vor wenigen Tagen entdeckte die Sicherheitsfirma „Tenable“ eine kritische Sicherheitslücke in Intels Active Management Technology (AMT). Mit einem leeren String als Passwort-Hash kann sich der Nutzer einloggen.

Offenbar handelt es sich um einen simplen Fehler: Intel prüft einen Authentifizierungshash nicht korrekt. Das Webinterface von AMT bietet den Benutzern einen Login per Browser mit der Digest-Authentifizierungsmethode. Der Browser berechnet anhand des eingegebenen Passworts nach einem bestimmten Schema einen Hash.

Dem Interface reicht es aus, wenn nur ein Teil des Hashes geschickt wird. Verschickt man einen kürzeren String als Hash – die ersten fünf Zeichen genügen –, wird auch nur dieser Teil geprüft und akzeptiert. Der Angreifer benötigt nur noch den Benutzernamen und ist befugt, sich einzuloggen.

Betroffene Prozessoren

Die Active Management Technology ist ein Feature, enthalten im Intel-Chipsatz in vielen modernen PCs und Laptops. Laut Intel sei aber aktuell noch kein Fall bekannt, in dem diese Sicherheitslücke von Angreifern ausgenutzt wurde. Betroffen sind alle Intel-Prozessoren seit der ersten Core-Generation. Standardmäßig ist das Feature aber deaktiviert, sofern der Anwender mit diesem Feature nie etwas zu tun hatte und es auch nicht aktiviert hat.

Problemlösung

Entsprechende Firmware-Updates werden von Intel verteilt. Zusätzlich hat Intel einen Detection Guide für die Betriebssysteme Windows 7 und Windows 10 veröffentlicht. Dazu lädt man die von Intel bereitgestellte zip-Datei herunter und extrahiert diese. 

Nun ist der extrahierte Ordner auf dem gleichen Pfad. Im extrahierten Ordner liegt ein weiterer Ordner, der sich „Windows“ nennt. In diesem Ordner befindet sich die Datei „Intel-SA-00075-GUI.exe“.

Zuerst muss die „Intel-SA-00075-GUI.exe“ als Administrator ausgeführt werden.

Nun öffnet sich ein Fenster, das wie folgt aussieht:

Der blau markierte Bereich sagt aus, ob:

  • die Firmware aktualisiert werden muss (VULNERABLE),
  • die Firmware aktualisiert ist und kein Update benötigt wird (NOT VULNERABLE),
  • das Programm keine Rückgabe erhält und es per BIOS ausgelesen werden muss (CHECK WITH OEM),
  • das Programm keine Rückgabe der Hardwaretreiber erhält, man also per Modellnummer manuell im Internet danach suchen muss, ob das Gerät betroffen ist oder nicht (UNKNOWN).    

Sobald etwas außer „NOT VULNERABLE“ ausgegeben wird und sofern noch kein Firmware-Update vorhanden ist, muss INTEL AMT Control ausgeschalten werden. Dazu müssen Sie wie folgt vorgehen:

  1. PC neu- und in die BIOS-Einstellungen starten,
  2. mit den Pfeiltasten in BIOS zu „Config“, „Configuration“ oder „Konfiguration“ navigieren (rechts <-> links),
  3. per Pfeiltaste „nach unten“ den Cursor auf „Intel AMT Control“ navigieren und mit der Enter-Taste bestätigen und auffächern lassen,
  4. erneut die Enter-Taste drücken und mit den Pfeiltasten den Cursor zu „Disabled“ navigieren und mit Enter bestätigen,
  5. mit der Taste „F10“ speichern und BIOS wieder verlassen.

Somit ist das Intel AMT Interface deaktiviert und ein Angriff über diese Schnittstelle wird verhindert.

Um nachzusehen, ob Ihr Produkt betroffen ist und wann entsprechende Firmware-Updates veröffentlicht werden, einfach folgenden Links folgen:

Tim Goretzki
Junior Consultant

Unsere Blogs