Sårbarhet i Intel Active Management Technology (AMT)

Publisert: 31.08.2015

Systemer som blir levert med Intel AMT er som regel ikke konfigurert sikkert nok. Blant annet leveres de med et standard passord.

NSM NorCERT er kjent med at det finnes en sårbarhet i Intel Active Management Technology (AMT). Intel AMT er en hardware og firmware teknologi som brukes til å monitorere, oppdatere og oppgradere systemer med Intel AMT. Dette ved hjelp av out-of-band fjerntilgang. Intel AMT er en del av Intel Management Engine inkludert på systemer med Intel vPro teknologi.

Systemer som blir levert med Intel AMT er som regel ikke konfigurert sikkert nok. Blant annet leveres de med et standard passord. NSM NorCERT anbefaler at passordet byttes ut umiddelbart.

For en angriper vil det være nok å ha tilgang til et sårbart system i noen sekunder. Ved å koble til en USB-enhet som angriper har forberedt vil de kunne få full tilgang til systemet. Dette inkluderer å lese og modifisere data på systemet. Sikkerhetsmekanismer i operativsystemet er ikke i stand til å forhindre angrepet.

Følgende gir ingen beskyttelse mot denne sårbarheten:

  • Skru av AMT i BIOS
  • Skru av oppstart fra USB medier
  • BIOS passord

Flere leverandører er påvirket av denne sårbarheten.

Deteksjon
Nettverksmonitorering vil kunne identifisere kommunikasjon fra AMT. Merk at AMT ikke kommuniserer via operativsystemet og at deteksjon derfor må skje utenifra. AMT bruker en privat IP adresse som er forskjellig fra IP adressen tilhørende PCen. Som standard vil den bruke DHCP, men IP adressen kan konfigureres manuelt.

AMT bruker følgende porter:

  • 544: DMTF out-of-band secure web services management protocol // ASF Secure Remote Management and Control Protocol (ASF-RMCP)
  • 623: ASF Remote Management and Control Protocol (ASF-RMCP)
  • 5900: Standard VNC port
  • 16992-16995: Intel AMT HTTP(S) // Intel AMT Redirection/TCP/TLS

Eksterne lenker: