Kategorien
Systeme

Sicherheitswarnung – Intel „Active Management Technology“ (AMT)

Intel warnt vor einer kritischen Schwachstelle in der Firmware der „Active Management Technology“ (AMT), „Standard Manageability“ (ISM) und „Small Business Technology“ (SBT). Ein potentieller Angreifer kann über mehrere Schwachstellen die eigenen Privilegien ausweiten und die Kontrolle über das angegriffene System erlangen. Von dem Problem sind zahlreiche Businesssysteme mit Intel Prozessor(en) von 2008 bis heute betroffen.

Intel warnt vor einer kritischen Schwachstelle (INTEL-SA-00075) in der Firmware der „Active Management Technology“ (AMT), „Standard Manageability“ (ISM) und „Small Business Technology“ (SBT). Ein potentieller Angreifer kann über mehrere Schwachstellen die eigenen Privilegien ausweiten und die Kontrolle über das angegriffene System erlangen. Von dem Problem sind zahlreiche Businesssysteme mit Intel Prozessor(en) von 2008 bis heute betroffen.

Die „Active Management Technology“ setzt sich aus Hardware und Firmware zusammen und erlaubt ein remote „Out-of-Band-Management“ von Systemen sprich deren Überwachung, Pflege und Reparatur sowie Aktualisierung.

Um die Schwachstellen zu beseitigen ist eine Aktualisierung der Firmware nötig. Problematisch in diesem Zusammenhang wird es sein, das die jeweiligen Hersteller viele der betroffenen Plattformen nicht oder nicht mehr mit Firmware Aktualisierungen versorgen werden. Wie auch Intel empfehlen wir daher auf den betroffenen Systemen die AMT vollständig zu deaktivieren.

Für einen Angriff bei den ME Versionen der AMT und der „Intel Standard Manageability“ (ISM) müssen die Fernwartungsfunktionen eingeschaltet und eingerichtet (provisioned) sein. Die Schwachstelle bei der „Small Business Advantage“ (SBA) Version lässt sich nur von lokalen Angreifern mit Zugriff auf ein betroffenes System missbrauchen.

Betroffene Systeme:

Betroffen können alle Systeme mit Intel Core i3, Core i5, Core i7 sowie Xenon, Pentium, und Celeron sein, die seit etwa 2008 auf dem Markt kamen und mit der betroffenen AMT Version 6.x bis 11.6 ausgestattet sind („Nehalem“ bis „Kaby Lake“).

Arbeitsplätze und Notebooks mit der ME-Version von AMT (besondere Intel-Netzwerkchips für LAN und WLAN mit Fernzugriff auf BIOS und Remote KVM) werden typischerweise mit dem Zusatz „vPRO“ vermarktet. Die Chipsatzbezeichnung beginnt hier typischerweise mit einem „Q“ (Bsw.: Q57).

Betroffen sind auch die Mobilversionen der Chipsätze. In den verbreiteten Stromsparversionen der Intel CPUs (U) sind die Chipsätze allerdings integriert, weshalb eine Identifikation schwierig werden dürfte. Betroffen sind aber wohl die meisten Businessversionen der großen Markenhersteller.

AMT-Versionen vor 6.x und nach 11.6 sind laut Intel nicht betroffen.

 Intel manageability firmware  Associated CPU Generation  Resolved Firmware
 6.0.xx.xxxx  1st Gen Core  6.2.61.3535
 6.1.xx.xxxx  6.2.61.3535
 6.2.xx.xxxx  6.2.61.3535
 7.0.xx.xxxx  2nd Gen Core  7.1.91.3272
 7.1.xx.xxxx  7.1.91.3272
 8.0.xx.xxxx  3rd Gen Core  8.1.71.3608
 8.1.xx.xxxx  8.1.71.3608
 9.0.xx.xxxx  4th Gen Core  9.1.41.3024
 9.1.xx.xxxx  9.1.41.3024
 9.5.xx.xxxx  9.5.61.3012
 10.0.xx.xxxx  5th Gen Core  10.0.55.3000
 11.0.xx.xxxx  6th Gen Core  11.0.25.3001
 11.5.xx.xxxx  7th Gen Core  11.6.27.3264
 11.6.xx.xxxx  11.6.27.3264

Intel System Discovery Utility – Betroffene Systeme erkennen

Intel erklärt im „INTEL-SA-00075 Detection Guide“ wie betroffene Systeme unter Windows 7 und Windows 10 erkannt werden. Dazu verwendet man das „Intel SDS – System Discovery Utility.

Laden Sie das Intel System Discovery Utility herunter und entpacken Sie das Archiv (ZIP) in einen Ordner unter „C:“ (bsw.: temp)

Starten Sie eine „Eingabeaufforderung“ mit erweiterten Rechten (Als Administrator ausführen) (Abb.:01).

Starten Sie das Intel Discovery Utility mit der Eingabe von „C:\temp\SCSDiscovery.exe SystemDiscovery“ (Abb.: 02) und bestätigen Sie die Eingabe.

Nach dem Durchlauf (Abb.:03) finden Sie in ihrem „temp“ Verzeichnis zusätzlich eine XML-Datei und eine LOG-Datei. Öffnen Sie die XML-Datei mit einem Doppelklick in Ihrem Browser.

Suchen Sie in der XML-Datei den Bereich <ManageabilityInfo> und den Eintrag <FWVersion>

Prüfen Sie ob ihre Version betroffen ist. Im Zweifel senden Sie uns Ihre XML-Datei per E-Mail und wir überprüfen dies für Sie.

Unter <Capabilities> können Sie auch erkennen ob  bereits alle Funktionen von AMT deaktiviert sind.

Beispiel (XML) eines Core2Duo (Version älter als 6.x daher nicht betroffen):

Abb.: 05

Beispiel (XML) eines i3:

Abb.: 06

 

Quellen und Verweise zum Thema:

Hintergrundinformationen:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert