Forscher: Sicherheitslücke in Intel-Firmware lässt sich leicht ausnutzen

Der Sicherheitsanbieter Embedi hat Details zur der von ihm entdeckten Schwachstelle in Firmware von Intel veröffentlicht. In einem laut einer Pressemitteilung mit Zustimmung von Intel bereitgestellten Whitepaper (PDF) beschreibt das Unternehmen, wie Angreifer die vollständige Kontrolle über Business-PCs mit Intel vPro übernehmen können. Die Anfälligkeit kann demnach sogar per Browser und ohne Eingabe eines Passworts ausgenutzt werden.

Der Fehler steckt in der Firmware von Active Management Technology (AMT), Standard Manageability (ISM) und Small Business Technology (SBT). Administratoren können beispielsweise per AMT vollständige PC-Infrastrukturen verwalten, als hätten sie direkten Zugriff auf jeden einzelnen Computer, um beispielsweise Softwareupdates zu installieren oder Festplatten zu löschen. AMT erlaubt es sogar, per Browser auf im Ruhezustand befindliche PCs zuzugreifen – allerdings erst nach Eingabe eines vom Administrator festgelegten Passwords.

Intels Hardware-basiertes Management von PCs in der Ansicht der Active Mangement Technology (AMT). (Bild: Thomas Krenn AG)Genau hier liegt laut Embedi das Problem. Die Browser-Konsole lässt sich auch ohne Eingabe eines Passworts starten. Ein Fehler bei der Verarbeitung der Kennwörter erlaubt es, dass Eingabefeld leer zu lassen und trotzdem die Anmeldung erfolgreich abzuschließen. „Kein Zweifel, das ist der Fehler eines Programmierers, aber so ist es: Mach gar nichts, wenn du aufgefordert wirst, und du bist drin“, teilten die Forscher mit.

Forscher von Tenable bestätigten die Funktionsweise der Sicherheitslücke in einem ebenfalls am Freitag veröffentlichten Blogeintrag. Mit einer einfachen Zeichenkette sei es möglich, sich beim AMT-Web-Interface mit dem Benutzernamen „admin“ und einem beliebigen Passwort anzumelden.

Während Intel Systeme wie Desktops, Laptops und Server aus den Jahren 2010 bis 2017 mit den Firmwareversionen 6.x bis 11.6 als anfällig einstuft, geht Embedi davon aus, dass alle AMT-fähigen Rechner angreifbar sind, die mit dem Internet verbunden sind und bei denen die Ports 16992 und 16993 offen sind. „Der Zugang zu den Ports 16992/16993 ist die einzige Voraussetzung für einen erfolgreichen Angriff“, ergänzten die Embedi-Forscher.

Cyberkriminelle versuchen offenbar schon seit 1. Mai, die Schwachstelle auszunutzen. Unternehmen wie Highcharts.com registrieren seitdem einen deutlichen Anstieg von Anfragen an die Ports 16992 und 16993. Die Gerätesuchmaschine Shodan liefert zudem mehr als 8500 anfällige Computer, von denen sich alleine fast 3000 in den USA und rund 1200 in Deutschland befinden. Hierzulande sind demnach vor allem Systeme betroffen, die über die Deutsche Telekom sowie die Freie Universität Berlin auf das Internet zugreifen.

Intel verweist in einer aktuellen Stellungnahme auf ein seit 4. Mai erhältliches Tool, mit dem Nutzer feststellen können, ob ihr System betroffen ist. Zudem sollen Computerhersteller ab dieser Woche Firmwareupdates für ihre Produkte bereitstellen. Unter anderem Dell, Fujitsu, HP und Lenovo haben bereits eigene Advisories veröffentlicht und neue Firmwareversionen angekündigt.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.