Firewall-Umgehung: Kriminelle nutzen Intel AMT für Angriffe

Microsoft warnt vor Angriffen der Platinum-Gruppe, die Intels Active Management ausnutzen. Dabei geht es allerdings nicht um die vor einigen Wochen entdeckte Sicherheitslücke in der Technologie.

Artikel veröffentlicht am ,
Angreifer nutzen Intel AMT, um Dateien zu kopieren.
Angreifer nutzen Intel AMT, um Dateien zu kopieren. (Bild: Microsoft)

Kriminelle nutzen offenbar Intels Active-Management-Technologie (AMT), um Angriffe gegen Firmennetzwerke durchzuführen. Dabei nutzen sie nicht die vor wenigen Wochen bekannt gewordene Sicherheitslücke aus, die eine Anmeldung ohne Zugangsdaten ermöglichte, sondern nutzen Grundfunktionen der Technologie, wie Microsoft berichtet. Mehrere Systeme in Südostasien sollen so angegriffen worden sein.

Stellenmarkt
  1. Informatiker (w/m/d) Systementwicklung
    Deutscher Bundestag, Berlin
  2. IT-Systemadministrator (m/w/d) mit dem Schwerpunkt Linux
    Staatsanzeiger für Baden-Württemberg GmbH & Co. KG, Stuttgart
Detailsuche

Mit dem Angriff können unter anderem Dateien auf einen Rechner transferiert werden, ohne dass klassische Sicherheitsmechanismen wie Firewalls und Virenscanner davon etwas mitbekommen. Voraussetzung ist, dass Angreifer zunächst Administratorrechte erlangen. Die Hürde ist recht hoch, die Technologie könnte aber nach einer ersten Infektion des Netzwerkes genutzt werden, um weitere Angriffe unerkannt durchzuführen.

Virtueller Serieller Port wird ausgenutzt

Die von Microsoft Platinum genannte Gruppe nutzt den Serial-over-Lan-Port von AMT, um Dateien auf den Rechner zu kopieren. Die Funktion ist eigentlich dafür gedacht, Betriebssystem-Images für eine Installation aus der Ferne aufzuspielen. Weil der Datentransfer unterhalb der Betriebssystemebene stattfindet, ist er für klassische Netzwerküberwachungstools nicht sichtbar. Weil AMT einen eigenen Netzwerkstack nutzt, sind entsprechende Angriffe theoretisch nicht auf Windows allein beschränkt, wobei Microsoft bislang nur Angriffe auf das eigene Betriebssystem erwähnt.

Um AMT für den vorgestellten Zweck zu nutzen, brauchen Angreifer die Zugangsdaten - es sei denn, AMT ist aktiviert und die Firmware ist nicht um die Authentifizierungsschwachstelle bereinigt. Ist der Zugang einmal aktiviert, wird die AMT Technology SDK Redirection Library API geladen und der Dateitransfer gestartet.

Golem Karrierewelt
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    07.-09.11.2022, virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
Weitere IT-Trainings

Microsoft hat nach eigenen Angaben ein Update für Windows Defender Advanced Threat Protection entwickelt, das die ungewöhnlichen Datentransfers erkennen soll und Nutzer vor der Aktivität warnt. Das Unternehmen weist explizit darauf hin, dass der Angriff keine Schwachstelle in Intels AMT ausnutzt, sondern eine missbräuchliche Nutzung der Technologie darstellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Führung in der IT
Über das Unentbehrlichsein

Wie ich als Chef zum wandelnden Lexikon wurde und dabei meinen Spaß an der Arbeit verlor - und wie ich versuche, es besser zu machen.
Ein Erfahrungsbericht von @SoFuckingAgile

Führung in der IT: Über das Unentbehrlichsein
Artikel
  1. FTTC: Nachfrage für Vectoring der Telekom steigt um 60 Prozent
    FTTC
    Nachfrage für Vectoring der Telekom steigt um 60 Prozent

    Die Telekom sieht sich mit dem kupferbasierten Anschluss erfolgreich. Im Jahresvergleich hat sich der Kundenbestand um 1,3 Millionen auf 5,4 Millionen erhöht.

  2. Sensorfehler: Spinne legt Rendsburger Schwebefähre lahm
    Sensorfehler
    Spinne legt Rendsburger Schwebefähre lahm

    Ein Krabbeltier hat ein wichtiges Verkehrsmittel zur Überquerung des Nord-Ostsee-Kanals gestoppt - indem es ein Netz über einem Sensor gesponnen hat.

  3. Financial Modeling World Cup: Excel-E-Sport im Fernsehen
    Financial Modeling World Cup
    Excel-E-Sport im Fernsehen

    Ein TV-Sender in den USA übertrug erstmals die Ausscheidung der Excel-Weltmeisterschaft.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Neuer MM-Flyer • MindStar (Gigabyte RTX 3070 Ti 699€, XFX RX 6950 XT 999€) • eBay Re-Store -50% • AVM Fritz-Box günstig wie nie • Top-SSDs 1TB/2TB (PS5) zu Hammerpreisen • MSI-Sale: Gaming-Laptops/PCs -30% • Der beste Gaming-PC für 2.000€ [Werbung]
    •  /