BSI warnt vor Risiko bei Intels Fernwartungstechnik AMT
Das Bundesamt für Sicherheit in der Informationstechnik rät dazu, die Konfiguration von Notebooks und Desktop-PCs mit Intels Active Management Technology zu prüfen: Bei manchen dieser Rechner können Angreifer die Fernwartung aktivieren.
Computer mit Intel AMT lassen sich per LAN oder WLAN aus der Ferne warten. Per Remote KVM ist oft auch Zugriff auf den grafischen Desktop möglich.
Im Kurzinfo CB-K15/1256 warnt das CERT des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor einer unsicheren Konfiguration der Fernwartungstechnik Intel AMT: "Durch Ausnutzen eines unsicheren Auslieferungszustandes von (unprovisionierten) PCs und anderen Intel-Systemen mit (...) AMT kann ein lokaler, nicht authentisierter Angreifer dauerhaft einen Computer übernehmen und in Folge auch über das Internet die vollständige Kontrolle erhalten." Das Risiko wird als hoch bewertet (Stufe 4).
AMT unbefugt aktivierbar
Ab Werk, also bei neuen PCs, Notebooks oder Mainboards, ist Intels Active Management Technology (AMT) üblicherweise nicht eingeschaltet. Das Einschalten lokal am Gerät setzt voraus, dass man zunächst ein sicheres Passwort vergibt. Dann muss man AMT noch einrichten (provisionieren). Es gibt allerdings auch die Möglichkeit, AMT mit einem speziell konfigurierten USB-Stick zu provisionieren.
Laut BSI sind AMT-Systeme jedoch nicht vor einer unerwünschten AMT-Aktivierung geschützt, wenn AMT im BIOS-Setup nicht eingeschaltet wurde, selbst wenn der Aufruf des BIOS-Setup mit einem Passwort geschützt ist. Es reicht auch nicht, im BIOS-Setup das Booten von USB-Speichermedien zu verbieten.
Sicheres Passwort vergeben
Das BSI rät daher zu einem Workaround: "Bei Provisionierung eines neuen Gerätes sollte zunächst ein für jedes Gerät spezifisches sicheres AMT-Passwort vergeben werden und sodann in der BIOS-Konfiguration das AMT-Subsystem deaktiviert werden."
Doch bei manchen BIOS-Versionen, also manchen Systemen, reicht selbst das nicht: Sie setzen nämlich wieder das Default-Passwort ein, wenn man AMT per BIOS-Setup abschaltet. Für diesen Fall gibt das BSI keine Handlungsempfehlung.
Active Management Technology
Die 2006 von Intel eingeführte Active Management Technology ist zur Fernwartung von Business-Notebooks und Bürocomputern gedacht. AMT ist bei Rechnern mit sogenannten vPro-Komponenten nutzbar, die mit einem Chipsatz der Q-Serie sowie meist auch einem Core-i7- oder Core-i5-Prozessor bestückt sind.
Die Fernwartung setzt auch voraus, dass bestimmte Netzwerkchips oder WLAN-Adapter von Intel eingebaut sind und diese auch für die Netzwerkverbindung verwendet werden. AMT bietet per Remote KVM (Keyboard, Video, Mouse) Zugriff auf den grafischen (Windows-)Desktop und das BIOS-Setup. Das funktioniert bei Intel AMT aber nur, wenn die in der CPU (früher im Chipsatz) integrierte Onboard-Grafik verwendet wird.
Management Engine (ME)
Intel AMT nutzt die sogenannte Management Engine (ME), die in allen Intel-Chipsätzen eingebaut ist: Ein eingebetter Mikrocontroller mit eigener Firmware. Nur bei den Q- und einigen Server-Chipsätzen enthält die ME-Firmware aber auch die AMT-Funktionen.
Kurzinfo CB-K15/1256:
(ciw)
