Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Publicerad - Sårbarhet

Säkerhetsbrist i Intel Active Management Technology

Vissa datorer med vPro-stöd är konfigurerade med ett standardlösenord.

Intel Active Management Technology (AMT) är en del av Intel Management Engine och finns endast i datorer med Intels vPro-teknologi. Tjänsten är till för att ge systemadministratörer åtkomst till funktioner i hårdvaran över ett nätverk för att t.ex. konfigurera eller fjärrstyra av datorer i ett företagsnätverk. Detta är oberoende av installerat operativsystem eftersom tjänsten finns inbyggd i hårdvaran. Det enklaste sättet att se om en dator har vPro-stöd är att titta på det lilla klistermärket som visar vilken Intel-processor som sitter i datorn.

Bristen som upptäckts beror på att enheter har levereras med samma fördefinerade lösenord. Om lösenordet har inte har ändrats efter leverans så kan det vara möjligt för en angripare att konfigurera om PC:n med ett preparerat USB-minne för att sedan möjliggöra extern åtkomst till datorn via nätverk.

Om enheten är sårbar så hälper inte följande åtgärder:

  • AMT är avaktiverat i BIOS
  • Bootning från USB-enheter är avaktiverat i BIOS
  • BIOS-lösenord används

För att säkerställa att bristen inte kan utnyttjas på en sårbar dator så skall man byta AMT-lösenord och om AMT inte används så bör man sedan avaktivera funktionen i BIOS.

Konfiguration av AMT i BIOS skiljer sig mellan olika datortillverkare så det är inte säkert att man är sårbar även om datorn har vPro-stöd. Vi har inte fått någon information om vilka versioner av Intel AMT som är sårbara och inte heller vilka datorleverantörer eller produkter det gäller.

Det går att detektera AMT-kommunikation i ett nätverk (tänk på trafik AMT trafik till en dator inte kan detekteras av datorns egna operativsystem eftersom den når fram dit).

AMT använder följande portar:
* 16992 - 16995: Intel(R) AMT HTTP(S) // Intel(R) AMT Redirection/TCP / TLS
* 623: ASF Remote Management and Control Protocol (ASF-RMCP)
* 664: DMTF out-of-band secure web services management protocol // ASF Secure Remote Management and Control Protocol (ASF-RMCP)
* 5900: Standard VNC Port

Här kan man läsa ursprungsinformationen som publicerats på tyska av den tyska CERT:en CERT-Bund:
https://www.cert-bund.de/advisoryshort/CB-K15-1256

Så här kan man se om den dator har stöd för Intel vPro:
https://communities.intel.com/docs/DOC-5693

Lista på processormodeller med vPro-stöd:
http://ark.intel.com/Search/Advanced?s=t&VProTechnology=true

Mer information om Intel AMT
http://www.intel.com/content/www/us/en/architecture-and-technology/intel-active-management-technology.html
https://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/default.htm