Intel Active Management Technology: Kritische Sicherheitslücke in Serverchips ab Nehalem-Serie

Millionen verkaufte Serverchips von Intel sind, zumindest theoretisch, für eine kritische Sicherheitslücke verwundbar. Betroffen sind Chips ab der Nehalem-Serie bis hin zu Kaby Lake. Kunden können relativ einfach herausfinden, ob sie betroffen sind oder nicht.

Artikel veröffentlicht am ,
Wafer mit KBL-Chips
Wafer mit KBL-Chips (Bild: Marc Sauter/Golem.de)

Der Chiphersteller Intel hat eine kritische Sicherheitslücke in Millionen seit 2008 verkauften Prozessoren bestätigt. Betroffen sind Serverchips seit der Nehalem-Serie aus dem Jahr 2008 bis hin zu den aktuellen Kaby-Lake-Varianten, wenn diese Intels Active Management Technology (AMT), Intel Small Business Technology (SBT) und Intel Standard Manageability (ISM) einsetzen.

Stellenmarkt
  1. Senior Consultant Network Security (m/w/d)
    operational services GmbH & Co. KG, Dresden, Berlin, Frankfurt am Main, München
  2. Softwareentwickler - Schwerpunkt: PHP / Java Script
    über grinnberg GmbH, Frankfurt am Main
Detailsuche

Kunden müssten AMT selbst aktivieren, um für die Sicherheitslücke verwundbar zu sein. In einem Dokument beschreibt Intel, wie Nutzer den Status ihrer eigenen Rechner überprüfen können. Consumer-Systeme sind nach derzeitigem Kenntnisstand nicht betroffen.

  • Übersicht verwundbarer Systeme (Bild: Intel/Screenshot Golem.de)
Übersicht verwundbarer Systeme (Bild: Intel/Screenshot Golem.de)

Die verwundbaren Firmware-Versionen sind nach Angaben von Intel 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 und 11.6. Die Sicherheitslücke ermöglicht einem unprivilegierten Angreifer den Zugriff auf Intels Managementkonsole. Je nach Konfiguration kann dieser Zugriff über eine Konsole oder über eine grafische Benutzeroberfläche laufen. Intel hat einen Patch bereitgestellt, der jedoch von den Serverherstellern selbst implementiert und verteilt werden muss. Die entsprechenden Firmware-Versionen haben eine Build-Nummer, die im letzten Abschnitt vierstellig ist und mit einer drei beginnt.

Nach Angaben von Matthew Garret von Google ist zumindest der Konsolenzugriff auch auf Linux-Rechnern möglich, andere Sicherheitsforscher wie HD Moore widersprechen dieser These bei Ars Technica, weil ein Zugriff voraussetze, dass Intels Windows-basierte Software Local Manageability Service auf dem System läuft. Klar ist: Damit ein System aus der Ferne verwundbar ist, müssen die Ports 16992 oder 16993 geöffnet sein. Ein entsprechender Scan im eigenen Netzwerk kann daher schnell für Aufklärung sorgen.

Wartungsfunktionen für große Netzwerke

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
  2. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
Weitere IT-Trainings

Über AMT können verschieden Befehle ausgeführt werden, die vor allem zur Wartung größerer Netzwerke eingesetzt werden. Neben Kommandos wie einem Shutdown kann über AMT aber auch eine ISO-Datei gemountet werden. Eine dauerhafte (persistente) Infektion eines Systems dürfte jedoch bei korrekt konfiguriertem Bios mit Passwortschutz und aktivem Secureboot kaum möglich sein.

Intels AMT ist in den Profi-Chips seit Nehalem angelegt, muss jedoch vom Hersteller eines Systems separat lizenziert werden. Weil zum Beispiel Apple dies nicht getan hat, sind Apple-Rechner nach derzeitigem Kenntnisstand nicht von der Sicherheitslücke betroffen. Weil Updates vom jeweiligen Hersteller signiert werden müssen, um akzeptiert zu werden, kann Intel den Fix nicht selbst an alle Kunden verteilen.

Fraglich ist, ob ältere Systeme die Updates bekommen werden, insbesondere wenn diese nicht von Markenherstellern stammen. Wessen Geräte sicher nicht mehr mit Updates versorgt werden, kann sich bei Intel über Schritte zur Mitigation der Sicherheitslücke informieren.

Unklar ist, wie viele Rechner derzeit von der Sicherheitslücke betroffen sind. Nach Angaben von HD Moore bei Ars Technica zeigt ein Shodan-Scan auf die Ports 16992 oder 16993 rund 7.000 verwundbare Systeme weltweit. Tatsächlich könnten viele dieser Rechner aber nur Frontends größerer Netzwerke sein und die Anzahl angreifbarer Systeme damit erhöhen. Die Ergebnisse solcher Scans sind nicht unbedingt repräsentativ, können aber eine Einordnung ermöglichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ada & Zangemann
Das IT-Märchen, das wir brauchen

Das frisch erschienen Märchenbuch Ada & Zangemann erklärt, was Software-Freiheit ist. Eine schöne Grundlage, um Kinder - aber auch Erwachsene - an IT-Probleme und das Basteln heranzuführen.
Eine Rezension von Sebastian Grüner

Ada & Zangemann: Das IT-Märchen, das wir brauchen
Artikel
  1. Elektroauto: Project Deep Space wird ein sechsrädriges Hypercar
    Elektroauto
    Project Deep Space wird ein sechsrädriges Hypercar

    Von dem sechsrädrigen Elektroauto werden nur wenige Exemplare gebaut - und nur wenige werden es sich leisten können.

  2. TTDSG: Neue Cookie-Regelung in Kraft getreten
    TTDSG
    Neue Cookie-Regelung in Kraft getreten

    Mit jahrelanger Verspätung macht Deutschland die Cookie-Einwilligung zur Pflicht. Die Verordnung zu Einwilligungsdiensten lässt noch auf sich warten.

  3. Prozessoren: Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus
    Prozessoren
    Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus

    Tausende ältere CPUs und andere Hardware lagern bei Intel in einem Lagerhaus in Costa Rica. Damit lassen sich Probleme exakt nachstellen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote bei Amazon • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit DDR4-3600 73,99€) • HP 27" FHD 165Hz 199,90€ • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn (u. a. Surface Pro 7+ 849€) • Alternate (u. a. Adata 1TB PCIe-4.0-SSD für 129,90€) [Werbung]
    •  /