Netz - Rettung - Recht

ME und AMT

Die ME läuft “unterhalb” des Betriebssystem auf Hardware-Ebene; Schwachstellen im Code betreffen daher nicht nur Windows-Rechner, sondern jeden Rechner mit diesem Chipsatz. Bei aktivierter AMT werden Zugriffe u.a. auf Port 16992 und 16993 bereits auf Ebene der Netzwerkkarte zur AMT umgeleitet; das Betriebssystem bekommt diese Pakete gar nicht erst zu sehen. Das gilt nach allem, was man weiß, ggf. auch für das WLAN-Interface, also nicht nur für die drahtgebundene Netzwerkschnittstelle. Auf diesen Ports lauscht ein interner Webserver, der nach Angabe eines Passworts den Zugriff auf Fernwartungsaufgaben ermöglicht, so dass u.a. ein Reboot des Rechners ausgelöst werden kann, aber auch Zugriff auf eine serielle Konsole und die Angabe eines externen Bootmediums soll möglich sein. Es ist also denkbar, den Rechner neu zu starten und von einem Image aus dem Netz booten zu lassen.

Silent Bob is Silent

Der AMT-Webserver enthält eine Schwachstelle, die den Namen Silent Bob is Silent [PDF] erhalten hat und unter CVE-2017-5689 registriert wurde. Diese Schwachstelle ermöglicht unter Angabe eines leeren Passworts unbeschränkten Admin-Zugriff auf die AMT.

Bei entsprechender Konfiguration ist ein Rechner (bspw. ein Laptop) also über jedes WLAN, in dem er sich anmeldet, angreifbar.

Matthew Garrett beschreibt diese Schwachstelle und ihre Implikationen in zwei Blogbeiträgen:

• Intel’s remote AMT vulnerablity

• Intel AMT on wireless networks

Die Schwachstelle betrifft gleichermaßen Intel Standard Manageability (ISM) und Small Business Technology (SBT).

Eine Behebung kann nur per Firmware-Update erfolgen, sobald ein solches zur Verfügung steht.

AMT auf Lenovo-Laptops deaktivieren

Auf den Laptops von Lenovo (mit vPro-Technologie) ist AMT bei Auslieferung bereits aktiviert, die Rechner sind also prinzipiell verwundbar. Lenovo bietet in seinem Advisory eine umfangreichee Liste der betroffenen Rechner an.

Im BIOS lässt sich AMT scheinbar deaktivieren; nach allem, was bekannt ist, steuert diese Option aber nur die Zugriffsmöglichkeit des Nutzers auf die AMT-Konfiguration. Wird AMT hier deaktiviert (und das BIOS ggf. per Passwort gegen Änderungen geschützt), kann der Nutzer AMT nicht mehr konfigurieren; im Gegenteil wird es offenbar sogar auf eine Standardkonfiguration zurückgesetzt. AMT muss daher im BIOS aktiviert bleiben; (erst) dann ist der Zugriff auf die Management Engine BIOS Extension (MEBx) möglich, mit der AMT dann konfiguriert und insbesondere deaktiviert werden kann. Diese ist am Anfang des Bootvorgangs über Ctrl-P zugänglich.

Im Lenovo-Forum findet sich eine Beschreibung der Vorgehensweise im Thread T420: How to completely deactivate Intel AMT. Die Angaben dort passen mutatis mutandis auch auf einen T520.

Was dort nicht erwähnt wird: das Standardpasswort ist admin, und es muss zunächst geändert werden. Das neue Passwort muss allerdings bestimmten Mindestanforderungen gehorchen. Ist das nicht der Fall, wird es mit einer weitgehend nichtssagenden Fehlermeldung nicht gespeichert. Danach allerdings lässt sich AMT deaktivieren. Der Webserver auf Port 16992 ist dann weiter erreichbar, nimmt aber keine Anmeldungen mehr entgegen.

Ein lokaler Nutzer kann diese Dienste allerdings jederzeit wieder aktivieren, solange nicht auch der Local Manageability Service (LMS) deinstalliert wird.

Weitere Ressourcen

• Disabling Intel AMT on Windows (and a simpler CVE-2017-5689 Mitigation Guide)
  Eine alternative Vorgehensweise zur Deaktivierung.

• Intel AMT Vulnerability Tracking Page
  Übersicht und Linksammlung

• INTEL-SA-00075 Mitigation Guide [PDF]