Intel: Warnung vor Sicherheitslücke in Firmware

Fehlerhafte Firmware in AMT, ISM und SBT

Der Fehler steckt in der Firmware von Active Management Technology (AMT), Standard Manageability (ISM) und Small Business Technology (SBT), wie zdnet.de dazu berichtete. Das Problem ist, dass Administratoren per AMT vollständige PC-Infrastrukturen verwalten können, mit direktem Zugriff auf jeden einzelnen PC. Dort können sie dann beliebig Softwareupdates installieren oder auch ganze Festplatten löschen. Selbst in Ruhe befindliche PC’s können angesprochen werden, allerdings nach vorheriger Passwortvergabe.

Problematisch ist der Abschluss einer erfolgreichen Anmeldung ohne Passworteingabe. Es ist offensichtlich ein Programmierfehler der erlaubt, das Eingabefeld leer zu lassen und trotzdem die Anmeldung erfolgreich abzuschließen. Kommentar der Forscher:

„Kein Zweifel, das ist der Fehler eines Programmierers, aber so ist es: Mach gar nichts, wenn du aufgefordert wirst, und du bist drin“

Embedi konstatiert: Alle AMT-fähigen Rechner sind angreifbar

Embedi davon aus, dass alle AMT-fähigen Rechner angreifbar sind, die mit dem Internet verbunden sind und bei denen die Ports 16992 und 16993 offen sind. Sie erklärten:

„Der Zugang zu den Ports 16992/16993 ist die einzige Voraussetzung für einen erfolgreichen Angriff“

Die Funktionsweise der Schwachstelle wurde auch von Forschern von Tenable bestätigt. Sie erläuterten in einem blogbeitrag, dass es möglich sei, sich mit einer einfachen Zeichenkette, beim AMT-Web-Interface mit dem Benutzernamen „admin“ und einem beliebigen Passwort anzumelden.

Angriffe auf Schwachstelle seit 1.5.2017

Wie verlautet soll es bereits seit dem 1. Mai zahlreiche Versuche gegeben haben die Schwachstelle auszunutzen, wie mehrere Unternehmen registriert haben. Von mehr als 8500 anfälligen Computern darunter 300 in den USA und 1200 in Deutschland ist die Rede.

In Deutschland sollen vor allem Systeme betroffen sein, die über die Deutsche Telekom sowie die Freie Universität Berlin auf das Internet zugreifen.