Abo
  • Services:
Anzeige
Angreifer nutzen Intel AMT, um Dateien zu kopieren.
Angreifer nutzen Intel AMT, um Dateien zu kopieren. (Bild: Microsoft)

Firewall-Umgehung: Kriminelle nutzen Intel AMT für Angriffe

Angreifer nutzen Intel AMT, um Dateien zu kopieren.
Angreifer nutzen Intel AMT, um Dateien zu kopieren. (Bild: Microsoft)

Microsoft warnt vor Angriffen der Platinum-Gruppe, die Intels Active Management ausnutzen. Dabei geht es allerdings nicht um die vor einigen Wochen entdeckte Sicherheitslücke in der Technologie.

Kriminelle nutzen offenbar Intels Active-Management-Technologie (AMT), um Angriffe gegen Firmennetzwerke durchzuführen. Dabei nutzen sie nicht die vor wenigen Wochen bekannt gewordene Sicherheitslücke aus, die eine Anmeldung ohne Zugangsdaten ermöglichte, sondern nutzen Grundfunktionen der Technologie, wie Microsoft berichtet. Mehrere Systeme in Südostasien sollen so angegriffen worden sein.

Anzeige

Mit dem Angriff können unter anderem Dateien auf einen Rechner transferiert werden, ohne dass klassische Sicherheitsmechanismen wie Firewalls und Virenscanner davon etwas mitbekommen. Voraussetzung ist, dass Angreifer zunächst Administratorrechte erlangen. Die Hürde ist recht hoch, die Technologie könnte aber nach einer ersten Infektion des Netzwerkes genutzt werden, um weitere Angriffe unerkannt durchzuführen.

Virtueller Serieller Port wird ausgenutzt

Die von Microsoft Platinum genannte Gruppe nutzt den Serial-over-Lan-Port von AMT, um Dateien auf den Rechner zu kopieren. Die Funktion ist eigentlich dafür gedacht, Betriebssystem-Images für eine Installation aus der Ferne aufzuspielen. Weil der Datentransfer unterhalb der Betriebssystemebene stattfindet, ist er für klassische Netzwerküberwachungstools nicht sichtbar. Weil AMT einen eigenen Netzwerkstack nutzt, sind entsprechende Angriffe theoretisch nicht auf Windows allein beschränkt, wobei Microsoft bislang nur Angriffe auf das eigene Betriebssystem erwähnt.

Um AMT für den vorgestellten Zweck zu nutzen, brauchen Angreifer die Zugangsdaten - es sei denn, AMT ist aktiviert und die Firmware ist nicht um die Authentifizierungsschwachstelle bereinigt. Ist der Zugang einmal aktiviert, wird die AMT Technology SDK Redirection Library API geladen und der Dateitransfer gestartet.

Microsoft hat nach eigenen Angaben ein Update für Windows Defender Advanced Threat Protection entwickelt, das die ungewöhnlichen Datentransfers erkennen soll und Nutzer vor der Aktivität warnt. Das Unternehmen weist explizit darauf hin, dass der Angriff keine Schwachstelle in Intels AMT ausnutzt, sondern eine missbräuchliche Nutzung der Technologie darstellt.


eye home zur Startseite
cpt.dirk 11. Jun 2017

Danke für deinen aufschlussreichen Bericht! Kannst du zufälligerweise zu WfM ("Wired for...

Crass Spektakel 10. Jun 2017

AMT ist cofveve

daydreamer42 09. Jun 2017

Nein, wirklich nicht!1!! :)



Anzeige

Stellenmarkt
  1. W&W Informatik GmbH, Ludwigsburg
  2. ROHDE & SCHWARZ GmbH & Co. KG, Teisnach
  3. Allianz Deutschland AG, München, Stuttgart
  4. Hauni Maschinenbau GmbH, Hamburg


Anzeige
Spiele-Angebote
  1. 12,99€
  2. 16,99€

Folgen Sie uns
       


  1. Datenbank

    Microsofts privater Bugtracker ist 2013 gehackt worden

  2. Windows 10

    Fall Creators Update wird von Microsoft offiziell verteilt

  3. Robert Bigelow

    Aufblasbare Raumstation um den Mond soll 2022 starten

  4. Axon M

    ZTE stellt Smartphone mit zwei klappbaren Displays vor

  5. Fortnite Battle Royale

    Epic Games verklagt Cheater auf 150.000 US-Dollar

  6. Microsoft

    Das Surface Book 2 kommt in zwei Größen

  7. Tichome Mini im Hands On

    Google-Home-Konkurrenz startet für 82 Euro

  8. Düsseldorf

    Telekom greift Glasfaserausbau von Vodafone an

  9. Microsoft

    Neue Firmware für Xbox One bietet mehr Übersicht

  10. Infrastrukturabgabe

    Kleinere deutsche Kabelnetzbetreiber wollen Geld von Netflix



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Science-Fiction wird real: Kampf der Robotergiganten
Science-Fiction wird real
Kampf der Robotergiganten
  1. Roboter Megabots kündigt Video vom Roboterkampf an
  2. IFR Zahl der verkauften Haushaltsroboter steigt stark an
  3. Automatisierung Südkorea erwägt eine Robotersteuer

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: Präzedenzfall überfällig

    HorkheimerAnders | 02:17

  2. Re: Wenn ich das jetzt recht verstanden habe...

    ve2000 | 02:01

  3. Fehlendes Alleinstellungsmerkmal kann positiv...

    Dadie | 01:49

  4. Re: Was ist wenn meine Webseite Https erzwingt?

    ve2000 | 01:49

  5. Re: Preis - Fehler?

    Slurpee | 01:42


  1. 21:08

  2. 19:00

  3. 18:32

  4. 17:48

  5. 17:30

  6. 17:15

  7. 17:00

  8. 16:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel