Unsichere Default Einstellungen in Intel AMT

[schdrag]

Hört sich auch nicht gerade prickelnd an:

Edit:
http://www.zdnet.de/88323173/f-secu...t-technology/?inf_by=5a4b8de5681db85b0f8b45b5

"Unsichere Standardeinstellungen in Intels ​

Active Management Technology

(AMT) gefährden die meisten Firmen-Notebooks und damit Millionen Geräte weltweit, meldet die Sicherheitsfirma F-Secure. Demnach erlauben sie einem Angreifer mit Zugang zum Gerät, in weniger als 30 Sekunden eine Hintertür zu installieren."
Hier die ursprüngliche Meldung auf Englisch:
​

https://business.f-secure.com/intel-amt-security-issue

"The issue allows a local intruder to backdoor almost any corporate laptop in a matter of seconds, even if the BIOS password, TPM Pin, Bitlocker and login credentials are in place. No, we’re not making this stuff up."

 

[Mornsgrans]

Link funktioniert nicht

 

[goemichel]

Bei mir geht er...

 

[schdrag]

Bei mir geht er...

hier als Text: https://business.f-secure.com/intel-amt-security-issue und auch ein link auf Deutsch:
http://www.zdnet.de/88323173/f-secu...t-technology/?inf_by=5a4b8de5681db85b0f8b45b5

 

[Mornsgrans]

Wenn ich den Link im FF anklicke, gelange ich duf die deutsche Startseite von F-Secure.
Kopieren der Adresse und einfügen im Browser funktioniert hingegen.

 

[martina]

um dies auszunutzen muß
- der Angreifer kurz (oder etwas länger...) Zugriff auf das System haben und es rebooten können
- AMT auf dem System noch nicht konfiguriert sein (default PW noch aktiv)
- das System per Ethernetkabel am Netzwerk aktiv sein
- der Angreifer sich mit seinem System ins gleiche Netzwerk einklinken können

Über WLAN kann nur weiter angegriffen werden, wenn der Angreifer vorher Zugriff per Kabel hatte.

 

[schdrag]

Sollte jetzt klappen, sorry: im IE sah ich eine double click Meldung und kam ebenfalls auf die f-secure Standardseite, in chromium, sowohl in Windows wie auch in Linux hat der link funktioniert.

 

[Mornsgrans]

um dies auszunutzen muß
- der Angreifer kurz (oder etwas länger...) Zugriff auf das System haben und es rebooten können
- AMT auf dem System noch nicht konfiguriert sein (default PW noch aktiv)
- das System per Ethernetkabel am Netzwerk aktiv sein
- der Angreifer sich mit seinem System ins gleiche Netzwerk einklinken können

Wie z.B. in Bildungseinrichtungen und Unternehmen Gang und Gäbe ist

- AMT auf dem System noch nicht konfiguriert sein (default PW noch aktiv)

Trifft wohl auf 98% aller ThinkPads außerhalb von Enterprise-Umgebungen zu.

 

[schdrag]

Über den wikipedia link https://de.wikipedia.org/wiki/Intel_Active_Management_Technology bin ich auf diese Meldung von November 2017 gestossen, wo die Risiken recht gut erklärt werden.

https://derstandard.at/2000068197447/Schwerer-Fehler-macht-fast-alle-aktuellen-PCs-mit-Intel-CPU

- - - Beitrag zusammengeführt - - -

@martina: Danke für die prima Zusammenfassung.

 

[Joutungwu]

Heise hat im November eine Hersteller-Liste zusammengestellt, von denen es FW-Updates für die Intel ME gibt:
https://www.heise.de/security/meldu...n-der-Management-Engine-SA-00086-3895175.html

Lenovo war auch dabei:
https://support.lenovo.com/de/de/product_security/len-17297

 

[josti]

Hallo,

weiß jemand wie man die "Intel Management Engine 11.8 Firmware" (T460s) unter Linux installiert bekommt? Oder muss man extra deswegen Windows installieren? Hatte bisher angenommen, dass es beim BIOS-Update dabei ist...

Soweit ich es verstanden habe, hilft die neueste Firmware gegen das im Start-Post genannte Problem aber auch nicht. Hilft es im BIOS AMT auf disable zu stellen?