Kurzinfo
Das Loginfenster der Fernwartungsfunktion AMT (Active Management Technology) kann bei Intel-Prozessoren mit bestimmter Firmware-Verison durch einen Authentication Bypass umgangen werden und resultiert in der Erlangung höherer Rechte.
Treffsicherheit
Hohe Treffsicherheit
Authentication Bypass
Beschreibung
Die Fernwartungsfunktion AMT (Active Management Technology), wird von der ME (Management Engine) der betroffenen Intel-Prozessoren über eine eigene Firmware bereitgestellt. Die Technologie ermöglicht es, provisionierte Geräte aus der Ferne zu warten. Dazu müssen die Geräte entsprechend konfiguriert sein.
In AMT-Versionen mit veralteter Firmware ist eine Lücke enthalten, welche es einem Angreifer ermöglicht, sich als Administrator auf dem System anzumelden.
AMT wartet auf Port 16992, 16993, 623 und 624 auf eingehende Verbindungsanfragen. Über diese gelangt der Angreifer auf das Remote-Loginfenster, über welches er in weiterer Folge seinen Authentication-Bypass Angriff durchführt.
Welche Systeme sind betroffen?
Betroffen sind Geräte mit Intel-Prozessoren der 3. Generation (Core i3, Core i5, Core i7, Xeon, Penitum und Celeron) bzw. mit vPro-Technologie Unterstützung und einer ME-Firmwareversion 6.x, 7.x, 8.x, 9.x, 10.x 11.0, 11.5 und 11.6.
Geräte mit aktivierter AMT-Funktion und einer verwundbaren FW-Version sind anfällig für Angriffe.
| AMT-Firmware Versionen | |
|---|---|
| unsicher | sicher |
6.x.x.x – 11.6.x.x mit einer Build-Version kleiner oder gleich 3000 (z.B. 9.5.22.1760) | 6.x.x.x – 11.6.x.x mit einer Build-Version größer oder gleich 3000 (z.B. 11.6.27.3264) |
| 2.x.x.x – 5.x.x.x | |
| 11.7.x.x oder größer | |
Was ist zu tun?
Links
https://www.tenable.com/blog/intel-amt-vulnerability-detection-with-nessus-and-pvs-intel-sa-00075