F-Secure entdeckt kritische Lücke in Intel AMT

Intel kommt nicht zur Ruhe. Nach den aktuellen Security-Exploits Meltdown und Spectre haben die Experten von F-Secure eine weitere kritische Lücke entdeckt. Dieses Mal betroffen ist Intels Active Management Technology (AMT). Das Leck soll es Hackern ermöglichen, ein Gerät in unter 30  Sekunden vollständig zu übernehmen.

AMT kommt vorwiegend im Unternehmensumfeld zum Einsatz. IT-Administratoren können die betreffenden Geräte damit fernwarten. Für den Angriff sei es jedoch erforderlich, physisch auf das Gerät zugreifen zu können. Erst danach ist ein Remote-Zugriff möglich.

So lässt sich die AMT-Lücke ausnutzen: Wird ein Reboot an einem Notebook mit Intel-Chipset durchgeführt und zugleich die Tastenkombination Strg + P gedrückt, kann ein Angreifer sich in die AMT-BIOS-Erweiterung einloggen und die Fernwartung aktivieren.

Solange Hacker und Opfer nun im selben Netzwerk-Segment unterwegs sind, hat der Angreifer einen Remote-Zugriff auf das betroffene Gerät. Kommt ein CIRA-Server zum Einsatz, ist die Attacke sogar außerhalb es lokalen Netzwerks möglich.

Wie F-Secure schreibt, werde es den Hackern vergleichsweise einfach gemacht, denn das Passwort für das Login in die AMT-BIOS-Erweiterung werde oft in der Standardeinstellung "admin" belassen. So können sämtliche anderen Sicherheitsmechanismen des Gerätes wie BIOS-Passwort, Bitlocker-Passwort und TPM-PIN umgangen werden.

F-Secure rät den Endnutzern dringend dazu, ihre Notebooks niemals unbeobachtet zu lassen, um allein schon den nötigen Erstzugriff zu verhindern. IT-Administratoren hingegen werden angehalten, das AMT-Passwort unter keinen Umständen in den Standardeinstellungen zu belassen, sondern ein möglichst starkes Kennwort zu setzten. Wenn möglich, solle AMT sogar grundsätzlich deaktiviert werden, sagen die Sicherheitsexperten.