Stellen Sie sich vor, dass jemand sich aus der Ferne auf Ihren Laptop aufschalten und dort aktiv werden kann – ohne dass Sie etwas dagegen tun können. Ein unangenehmer Gedanke, oder? Zum Glück kann das so nicht passieren, denn viele Tricks mit denen Hollywood-Hacker starke Kennwörter oder Sicherheitsfunktionen umgehen, gehören ins Reich der Fantasie.

Doch ab und zu taucht eine Schwachstelle auf, die mehr nach Film denn Realität klingt. Im Juli 2017 fand Harry Sintonen, ein Senior Security Consultant bei F-Secure, eine solche Angriffsmöglichkeit in der Intel Active Management Technology (AMT). Dabei handelt es sich um eine Lösung zur Verwaltung von Computer-Flotten. AMT erlaubt den Zugriff auf diese Geräte zur Fehlersuche und Wartung. Die Technik ist Teil der meisten Intel-basieren Laptops im Unternehmenseinsatz.

Sicherheitsexperten haben bereits öfter Schwachstellen in Intel AMT aufgedeckt, doch Sintonens Entdeckung hat selbst erfahrene IT-Experten überrascht. Sie wirkt wie etwas, das direkt aus den Alpträumen für die Sicherheit verantwortlicher Admins geschlüpft ist.

„Die Attacke ist fast schon lächerlich einfach durchzuführen und hat dabei enorm desktruktives Potential. In der Praxis kann er einem Angreifer in weniger als einer Minute die komplette Kontrolle über einen Arbeits-Laptop geben, selbst wenn umfangreiche Sicherheitslösungen zum Einsatz kommen“, sagt Sintonen.

Die Attacke in der Praxis

Die Schwachstelle erlaubt es einem Angreifer, eine Hintertür auf dem System einzurichen – selbst wenn BIOS-Passwort, TPM-Pin, Bitlocker und lokale Nutzerkonten akviert sind. Und nein, wir denken uns das nicht aus.

Das Problem ist, dass AMT um diese Sicherheitsfunktionen herum arbeiten kann. Indem ein Angreifer den Laptop neu startet und währen des Boot-Vorgangs die Tastenkombination STRG + P drückt, kann er sich bei der Intel Management Bios Extension (MBx) anmelden. Das Standard-Passwort dafür ist „admin“, es wird in den wenigsten Fällen geändert. Einmal angemeldet kann der Angreifer das Kennwort ändern, den Zugriff aus der Ferne aktivieren und die Sicherheitsfunktion AMT User Opt-In abschalten. Solange sich der Hacker im gleichen LAN aufhält wie das Opfer, kann er oder sie auf den Rechner aus der Ferne zugreifen. In einigen Fällen lässt sich die Beschränkung des LANs umgehen, indem der Angreifer einen eigenen CIRA-Server betreibt und in AMT hinterlegt. Dann ist ein Zugriff aus anderern Netzwerksegmenten möglich.

Ja, eine erfolgreiche Attacke setzt voraus, dass der Angreifer einen direkten Zugang zum jeweiligen Gerät hat. Das ist aber für einen gewieften Hacker eher das kleinere Problem. Sintonen erklärt es an einem Beispiel, sowohl Kriminelle wie auch Penetration Tester nutzen dieses Verfahren: „Angreifer haben eine Zielperson ausgemacht. Sie sprechen diese an einem öffentlichen Ort an – einem Cafe, am Flughafen oder dem Empfangsbereich eines Hotels und führen eine sogannten „Evil-Maid-Attacke“ durch. Dabei lenkt eine Person das Opfer ab, während ein Komplize kurzzeitig Zugriff auf den Laptop erhält. Der Angriff selbst braucht nur wenig Zeit, weniger als eine Minute reicht vollkommen.“

Wie sich die Attacke in der Realität durchführen lässt, zeigt unser Video:

Gegenmaßnahmen

Der erste Schritt um diese oder ähliche Attacken zu verhindern: Lassen Sie Ihren Laptop nie unbeobachtet. Allerdings sollte auch die IT-Abteilung aktiv werden und einige Sicherheitsmaßnahmen durchführen. Dazu gehört, dass alle Computer von Haus aus mit einem verändertem, starken AMT-Kennwort versehen werden. Wo möglich, sollte die Funktion komplett deaktiviert werden. Bereits ausgegebene Geräte sollten von der IT ebenfalls überprüft und mit neuen Kennwörtern versehen werden. Intel selbst rät in diesem PDF beim Einsatz von AMT zu ähnlichen Sicherheitsmaßnahmen.

Das ist allerdings komplizierter als es klingt. IT-Abteilungen stellt dies teilweise vor große Herausforderungen, vor allem, wenn bereits viele Geräte im Feld sind. Sie benötigen – ironischerweise – einen Remote-Zugriff auf die Geräte. Gerade bei größeren Firmen ist das ein nicht zu unterschätzender Konfigurationsaufwand. Unser Tipp ist, die Anzahl der betroffenen Geräte abzufragen und anschließend eine Lösung wie Microsoft System Center Configuration Manager (oder Alternativen) zu verwenden, mit denen sich die AMT-Funktion provisionieren lässt.

Wichtig: Wenn das AMT-Kennwort auf einem Gerät bereits auf einen unbekannte Wert gesetzt wurde, sollten Sie davon ausgehen, dass sich jemand daran zu schaffen gemacht hat. In diesem Fall sollte sofort eine Untersuchung eingeleitet werden. Denn wie lautet die erste Regel der Cyber Security? Niemals unnötige Risiken eingehen.