Aktuell ist bekannt geworden, dass sich Angreifer mithilfe einer Schwachstelle in Systeme mit Bauteilen des Herstellers Intel Zugang zu einem Netzwerk verschaffen können. Sie ermöglicht dem Eindringling nicht nur den unerlaubten Zugang, sondern ebenfalls umfassende Systemprivilegien sowie die Übernahme des gesamten Systems.
Von diesem Problem sind jedoch nicht nur Server betroffen, sondern sämtliche Geräte, die einen modernen Intel-Chipsatz verbaut haben. Aus diesem Grund ist die Sicherheit der meisten auf dem Markt befindlichen Geräte gefährdet. Dem Hersteller ist dieses Sicherheitsrisiko nicht erst seit diesem Jahr bekannt. Bereits 2015 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausdrücklich vor dem Einsatz von Intels AMT und ME-Technologie aufgrund der bekannten Störung. Zu diesem Zeitpunkt waren sämtliche Modelle betroffen, die seit 2009 ausgeliefert wurden und über die Active Management Technology verfügen.
Bisher ist noch nicht ermittelt, ob eine Remote Code Execution entwickelt wurde, die diese Schwachstelle effizient ausnutzt. Diese Software würde Kriminellen ermöglichen, die aktuelle Sicherheitslücke zu missbrauchen und beliebige Befehle auf einem betroffenen System auszuführen. Experten gehen jedoch davon aus, dass es lediglich eine Frage der Zeit ist, bis die erste lauffähige Remote Code Execution entwickelt oder gefunden wird, da es sich hierbei um eine sehr kritische Schwachstelle handelt. Aus diesem Grund stellt Intel bereits seit einiger Zeit Werkzeuge bereit, mit denen ein betroffenes System identifiziert werden kann.
Die Active Management Technology (AMT)
Mithilfe von Intel AMT kann das Unternehmen einen Server aus der Ferne warten sowie verwalten. Diese Funktion sollte ursprünglich einen umfassenden Service für den Kunden ermöglichen. Nutzen jedoch Kriminelle den Zugang, können sie ungehindert auf Festplatte und Arbeitsspeicher zugreifen. Auf diese Weise können sämtliche gespeicherten Dokumente und Firmengeheimnisse gestohlen, Passwort-Logins überschrieben und Verschlüsselungsdaten extrahiert werden. Letztlich kann der Angreifer sogar Malware oder Viren auf den betroffenen Systemen installieren. Eine ausführliche Beschreibung der Architektur des Intel AMT erhalten Sie hier.
Intel Management Engine
Die Intel Management Engine (ME) wird in der Regel in einem separaten Prozess im Chipsatz auf dem Mainboard ausgeführt. Auf diese Weise wird auch unabhängig vom laufenden System eine umfassende Funktionalität des Prozesses ermöglicht. Die Intel ME unterhält dabei einen eigenen TCP/IP-Stack sowie einen vollständigen Webserver. Dadurch kann die Intel ME auch dann im Hintergrund aktiv arbeiten, wenn das Betriebssystem ausgeschaltet wurde.
Betroffene Versionen:
Intel Active Management Technology (AMT)
Intel Small Business Technology (SBT)
Intel Standard Manageability (ISM)
Intel Manageability Firmware 6.0.xx.xxxx
Intel Manageability Firmware 6.1.xx.xxxx
Intel Manageability Firmware < 6.2.61.3535
Intel Manageability Firmware 6.2.xx.xxxx
Intel Manageability Firmware 7.0.xx.xxxx
Intel Manageability Firmware < 7.1.91.3272
Intel Manageability Firmware 7.1.xx.xxxx
Intel Manageability Firmware 8.0.xx.xxxx
Intel Manageability Firmware < 8.1.71.3608
Intel Manageability Firmware 8.1.xx.xxxx
Intel Manageability Firmware 9.0.xx.xxxx
Intel Manageability Firmware < 9.1.41.3024
Intel Manageability Firmware 9.1.xx.xxxx
Intel Manageability Firmware < 9.5.61.3012
Intel Manageability Firmware 9.5.xx.xxxx
Intel Manageability Firmware < 10.0.55.3000
Intel Manageability Firmware 10.0.xx.xxxx
Intel Manageability Firmware < 11.0.25.3001
Intel Manageability Firmware 11.0.xx.xxxx
Intel Manageability Firmware 11.5.xx.xxxx
Intel Manageability Firmware < 11.6.27.3264
Intel Manageability Firmware 11.6.xx.xxxx
Gefährdete Plattformen
Von dieser Schwachstelle sind vor allem die folgenden Plattformen betroffen:
- Microsoft Windows
- Intel Active Management Technology (AMT)
- Intel Standard Manageability (ISM)
- Intel Small Business Technology (SBT)
- GNU/Linux.
Welche Handlungsempfehlung wird gegeben?
Aufgrund der massiven Gefahr für die Sicherheit des gesamten Systems wird die regelmässige Installation aller vom Hersteller angebotenen Software-Updates angeraten. Diese sollten so schnell wie möglich auf den betroffenen Geräten installiert werden, um eine schnellstmögliche Schliessung der Vulnerability zu erreichen. Bei Geräten, die jedoch nicht mehr vom Hersteller mit aktuellen Updates versorgt werden, müssen gesonderte Sicherheitsmassnahmen getroffen werden. Dabei ist es erforderlich, das AMT im BIOS des jeweiligen Systems vollständig zu deaktivieren. Darüber hinaus sollten in der Firewall die folgenden Ports sofort abgeschaltet werden:
- 16992
- 16993
- 16994
- 16995
- 623
- 664
Vollständige Lösung des Problems
Die Sicherheitslücke kann nur geschlossen werden, wenn die aktuelle Firmware auf dem Gerät installiert wird. Deshalb hat das Unternehmen Hewlett-Packard Enterprise (HPE) eine umfassende Tabelle mit sämtlichen betroffenen Systemen erstellt. Dort können Nutzer schnell herausfinden, wo sie die aktuelle Firmware für ihr Gerät erhalten, wenn dieses nicht mehr automatisch vom Hersteller versorgt wird. Sämtliche von der BitHawk AG installierten Server sind aktuell nicht von der Sicherheitslücke betroffen.
Hilfestellung von Intel
Aufgrund der enormen Gefahr, die von dieser Vulnerability ausgeht, hat Intel einen umfassenden Mitigation-Guide veröffentlicht. In diesem Dokument werden zahlreiche Hinweise gegeben, mit denen Verbraucher die Lücke selbst beheben können, wenn diese nicht mehr mit Updates vom Hersteller versorgt werden. Darüber hinaus sind sämtliche Handlungsempfehlungen auch für Geräte gültig, auf denen die Schwachstelle noch nicht behoben werden konnte. Grundsätzlich ermöglicht dieses Dokument den Anwender zur selbstständigen Rückstellung des Intel Manageability Clients. Auf diese Weise kann der Local Manageability Service vollständig entfernt werden.