Skip to content

Lenovo Laptops und Intels AMT

Neuere Prozessoren und Chipsätze von Intel verfügen über eine Management Engine (ME), einen gesonderten Prozessor, der von der CPU und dem laufenden Betriebssystem unabhängig ist. Auf diesem Prozessor kann unter anderem eine Active Management Technology (AMT) genannte Software laufen, die eine Fernkonfiguration ermöglichen soll, bspw. zur Verwaltung von Rechnern innerhalb einer größeren Organisation mit eigener IT-Abteilung.

Lenovo bietet Laptops mit Intels vPro-Technologie an, zu der auch AMT gehört.

Leider enthält der AMT-Code eine gravierende Schwachstelle, die einen Zugriff ohne Passwort ermöglicht.

ME und AMT

Die ME läuft “unterhalb” des Betriebssystem auf Hardware-Ebene; Schwachstellen im Code betreffen daher nicht nur Windows-Rechner, sondern jeden Rechner mit diesem Chipsatz. Bei aktivierter AMT werden Zugriffe u.a. auf Port 16992 und 16993 bereits auf Ebene der Netzwerkkarte zur AMT umgeleitet; das Betriebssystem bekommt diese Pakete gar nicht erst zu sehen. Das gilt nach allem, was man weiß, ggf. auch für das WLAN-Interface, also nicht nur für die drahtgebundene Netzwerkschnittstelle. Auf diesen Ports lauscht ein interner Webserver, der nach Angabe eines Passworts den Zugriff auf Fernwartungsaufgaben ermöglicht, so dass u.a. ein Reboot des Rechners ausgelöst werden kann, aber auch Zugriff auf eine serielle Konsole und die Angabe eines externen Bootmediums soll möglich sein. Es ist also denkbar, den Rechner neu zu starten und von einem Image aus dem Netz booten zu lassen.

Silent Bob is Silent

Der AMT-Webserver enthält eine Schwachstelle, die den Namen Silent Bob is Silent [PDF] erhalten hat und unter CVE-2017-5689 registriert wurde. Diese Schwachstelle ermöglicht unter Angabe eines leeren Passworts unbeschränkten Admin-Zugriff auf die AMT.

Bei entsprechender Konfiguration ist ein Rechner (bspw. ein Laptop) also über jedes WLAN, in dem er sich anmeldet, angreifbar.

Matthew Garrett beschreibt diese Schwachstelle und ihre Implikationen in zwei Blogbeiträgen:

Die Schwachstelle betrifft gleichermaßen Intel Standard Manageability (ISM) und Small Business Technology (SBT).

Eine Behebung kann nur per Firmware-Update erfolgen, sobald ein solches zur Verfügung steht.

AMT auf Lenovo-Laptops deaktivieren

Auf den Laptops von Lenovo (mit vPro-Technologie) ist AMT bei Auslieferung bereits aktiviert, die Rechner sind also prinzipiell verwundbar. Lenovo bietet in seinem Advisory eine umfangreichee Liste der betroffenen Rechner an.

Im BIOS lässt sich AMT scheinbar deaktivieren; nach allem, was bekannt ist, steuert diese Option aber nur die Zugriffsmöglichkeit des Nutzers auf die AMT-Konfiguration. Wird AMT hier deaktiviert (und das BIOS ggf. per Passwort gegen Änderungen geschützt), kann der Nutzer AMT nicht mehr konfigurieren; im Gegenteil wird es offenbar sogar auf eine Standardkonfiguration zurückgesetzt. AMT muss daher im BIOS aktiviert bleiben; (erst) dann ist der Zugriff auf die Management Engine BIOS Extension (MEBx) möglich, mit der AMT dann konfiguriert und insbesondere deaktiviert werden kann. Diese ist am Anfang des Bootvorgangs über Ctrl-P zugänglich.

Im Lenovo-Forum findet sich eine Beschreibung der Vorgehensweise im Thread T420: How to completely deactivate Intel AMT. Die Angaben dort passen mutatis mutandis auch auf einen T520.

Was dort nicht erwähnt wird: das Standardpasswort ist admin, und es muss zunächst geändert werden. Das neue Passwort muss allerdings bestimmten Mindestanforderungen gehorchen. Ist das nicht der Fall, wird es mit einer weitgehend nichtssagenden Fehlermeldung nicht gespeichert. Danach allerdings lässt sich AMT deaktivieren. Der Webserver auf Port 16992 ist dann weiter erreichbar, nimmt aber keine Anmeldungen mehr entgegen.

Ein lokaler Nutzer kann diese Dienste allerdings jederzeit wieder aktivieren, solange nicht auch der Local Manageability Service (LMS) deinstalliert wird.

Weitere Ressourcen

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Markdown-Formatierung erlaubt
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Gravatar, Favatar, Pavatar, Twitter, Identica, Identicon/Ycon Autoren-Bilder werden unterstützt.
Formular-Optionen
tweetbackcheck