Abo
  • Services:

Firewall-Umgehung: Kriminelle nutzen Intel AMT für Angriffe

Microsoft warnt vor Angriffen der Platinum-Gruppe, die Intels Active Management ausnutzen. Dabei geht es allerdings nicht um die vor einigen Wochen entdeckte Sicherheitslücke in der Technologie.

Artikel veröffentlicht am ,
Angreifer nutzen Intel AMT, um Dateien zu kopieren.
Angreifer nutzen Intel AMT, um Dateien zu kopieren. (Bild: Microsoft)

Kriminelle nutzen offenbar Intels Active-Management-Technologie (AMT), um Angriffe gegen Firmennetzwerke durchzuführen. Dabei nutzen sie nicht die vor wenigen Wochen bekannt gewordene Sicherheitslücke aus, die eine Anmeldung ohne Zugangsdaten ermöglichte, sondern nutzen Grundfunktionen der Technologie, wie Microsoft berichtet. Mehrere Systeme in Südostasien sollen so angegriffen worden sein.

Stellenmarkt
  1. ADAC Ostwestfalen-Lippe e.V., Bielefeld
  2. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg

Mit dem Angriff können unter anderem Dateien auf einen Rechner transferiert werden, ohne dass klassische Sicherheitsmechanismen wie Firewalls und Virenscanner davon etwas mitbekommen. Voraussetzung ist, dass Angreifer zunächst Administratorrechte erlangen. Die Hürde ist recht hoch, die Technologie könnte aber nach einer ersten Infektion des Netzwerkes genutzt werden, um weitere Angriffe unerkannt durchzuführen.

Virtueller Serieller Port wird ausgenutzt

Die von Microsoft Platinum genannte Gruppe nutzt den Serial-over-Lan-Port von AMT, um Dateien auf den Rechner zu kopieren. Die Funktion ist eigentlich dafür gedacht, Betriebssystem-Images für eine Installation aus der Ferne aufzuspielen. Weil der Datentransfer unterhalb der Betriebssystemebene stattfindet, ist er für klassische Netzwerküberwachungstools nicht sichtbar. Weil AMT einen eigenen Netzwerkstack nutzt, sind entsprechende Angriffe theoretisch nicht auf Windows allein beschränkt, wobei Microsoft bislang nur Angriffe auf das eigene Betriebssystem erwähnt.

Um AMT für den vorgestellten Zweck zu nutzen, brauchen Angreifer die Zugangsdaten - es sei denn, AMT ist aktiviert und die Firmware ist nicht um die Authentifizierungsschwachstelle bereinigt. Ist der Zugang einmal aktiviert, wird die AMT Technology SDK Redirection Library API geladen und der Dateitransfer gestartet.

Microsoft hat nach eigenen Angaben ein Update für Windows Defender Advanced Threat Protection entwickelt, das die ungewöhnlichen Datentransfers erkennen soll und Nutzer vor der Aktivität warnt. Das Unternehmen weist explizit darauf hin, dass der Angriff keine Schwachstelle in Intels AMT ausnutzt, sondern eine missbräuchliche Nutzung der Technologie darstellt.



Anzeige
Top-Angebote
  1. 99,00€
  2. (u. a. Outward 31,99€, Dirt Rally 2.0 Day One Edition 24,29€, Resident Evil 7 6,99€, Football...
  3. 319,90€ (Bestpreis!)

cpt.dirk 11. Jun 2017

Danke für deinen aufschlussreichen Bericht! Kannst du zufälligerweise zu WfM ("Wired for...

Crass Spektakel 10. Jun 2017

AMT ist cofveve

daydreamer42 09. Jun 2017

Nein, wirklich nicht!1!! :)


Folgen Sie uns
       


Nubia Alpha - Hands on (MWC 2019)

Nubia hat eine Smartwatch mit einem flexiblen Display auf dem Mobile World Congress 2019 in Barcelona gezeigt.

Nubia Alpha - Hands on (MWC 2019) Video aufrufen
Energie: Warum Japan auf Wasserstoff setzt
Energie
Warum Japan auf Wasserstoff setzt

Saubere Luft und Unabhängigkeit von Ölimporten: Mit der Umstellung der Wirtschaft auf den Energieträger Wasserstoff will die japanische Regierung gleich zwei große politische Probleme lösen. Das Konzept erscheint attraktiv, hat aber auch entscheidende Nachteile.
Eine Analyse von Werner Pluta


    ANC-Kopfhörer im Test: Mit Ach und Krach
    ANC-Kopfhörer im Test
    Mit Ach und Krach

    Der neue ANC-Kopfhörer von Audio Technica ist in einem Bereich sogar besser als unsere derzeitigen Favoriten von Sony und Bose - ausgerechnet in der entscheidenden Disziplin schwächelt er aber.
    Ein Test von Ingo Pakalski

    1. Surface Headphones Microsofts erster ANC-Bluetooth-Kopfhörer kostet 380 Euro
    2. Sonys WH-1000XM3 Oberklasse-ANC-Kopfhörer hat Kälteprobleme
    3. Sony-Kopfhörer WH-1000XM3 im Test Eine Oase der Stille oder des puren Musikgenusses

    Linux: Wer sind die Debian-Bewerber?
    Linux
    Wer sind die Debian-Bewerber?

    Nach schleppendem Beginn stellen sich vier Kandidaten als Debian Project Leader zur Wahl. Zwei von ihnen kommen aus dem deutschsprachigen Raum und stellen Golem.de ihre Ziele vor.
    Von Fabian A. Scherschel

    1. Betriebssystem Debian-Entwickler tritt wegen veralteter Werkzeuge zurück
    2. Linux Debian-Update verhindert Start auf ARM-Geräten
    3. Apt Bug in Debian-Paketmanager feuert Debatte über HTTPS an

      •  /