Als hätte Intel derzeit nicht mit genügend Schwierigkeiten zu kämpfen, sieht sich das Unternehmen nun mit einer neuen kritischen Sicherheitslücke konfrontiert. Und diese findet sich in einer Komponente, die in den letzten Jahren immer wieder Ziel grundlegender Kritik von Experten war.

Fernwartung

Ein Fehler in Intels Active Management (AMT) erlaubt es Angreifern innerhalb kürzester Zeit, eine Hintertür auf den damit ausgestatteten Notebooks einzuschmuggeln. Gerade einmal 30 Sekunden würde ein Angriff mit physischem Zugriff auf einen mit dem Fernwartungsfeature ausgestatteten Laptop brauchen, um Spionagesoftware auf diesem unterzubringen, warnt F-Secure.

Angriffsweg

Wie F-Secure herausgefunden hat, wird AMT auf den meisten Rechnern nicht durch das Bios-Passwort geschützt. Wer physischen Zugriff auf einen Laptop hat, kann über die Tastaturkombination Strg-P auch problemlos in die diesbezüglichen Einstellungen (Management Engine Bios Extension) kommen. Dort wird dann zwar ein Passwort zur Aktivierung der Fernwartung abgefragt, dieses haben viele Hardwarehersteller aber auf der Default-Einstellung belassen – und die lautet schlicht "admin".

Anschließend kann ein Angreifer die Fernwartungsfunktion aktivieren und künftig von außen die Überwachung des Rechners übernehmen. Da dieser Angriff unterhalb des eigentlichen Betriebssystems läuft, kann diese Form der Spionage auch nicht mit Änderungen an Windows, Linux und Co unterbunden werden. Ob Systemverschlüsselung oder andere Schutzebenen – all dies wird hier unterlaufen.

Ausschalten

Der Sicherheitsdienstleister empfiehlt allen, die AMT nicht unbedingt benötigen, dieses auf ihren Laptops vollständig zu deaktivieren oder zumindest das Default-Passwort zu ändern. Intel selbst ist über das Problem informiert, sieht hier aber die Hardwarehersteller in der Pflicht, die ihre Default-Einstellungen besser wählen müssen.

Hintergrund

AMT und die zugrunde liegende Management Engine waren in den letzten Jahren regelmäßig Ziel scharfer Kritik. Denn während AMT üblicherweise Business-Laptops vorbehalten ist, ist die Management Engine auf praktisch allen Rechnern mit Intel-Prozessoren zu finden – und kann nicht deaktiviert werden. Für das aktuelle Angriffsszenario bleibt zumindest der Trost, dass davon die meisten privaten Notebooks nicht betroffen sein sollten. (apo, 15.1.2018)