lolloj - Fotolia

F

Wie kann die Windows-Firewall mit Intel AMT umgangen werden?

Hacker missbrauchen die Active Management Technology von Intel, um heimlich Dateien über das Firmennetz transferieren zu können. Die Firewall ist kein Schutz gegen diese Angriffe.

Die Active Management Technology (AMT) von Intel kann nach Erkenntnissen von Microsoft-Forschern genutzt werden, um die in Windows eingebaute Firewall mit einem Transfer-Tool der Hacker-Gruppe Platinum zu umgehen. Wie funktioniert dieser Angriff, bei dem die Management-Funktionen von Intel missbraucht werden?

Die Hacker-Gruppe Platinum verwendet bereits seit 2016 ein spezielles Tool für Dateiübertragungen, das laufend weiterentwickelt wird. Die neueste Version missbraucht die AMT-Technik von Intel, um Firewalls und andere auf den Endpoint ausgerichtete Schutzmaßnahmen auszutricksen.

AMT ist Bestandteil der modernen Intel-vPro-Prozessoren und -Chips und wird für das Management aus der Ferne eingesetzt. Nach Angaben von Microsoft und Intel ist dies das erste Mal, dass ein APT (Advanced Persistent Threat) eine Chipset-Funktion missbraucht.

AMT ist auch Teil der Management Engine (ME) von Intel. Sie ist mit einem eigenen Betriebssystem ausgestattet, das auf einem Embedded Prozessor im Chip läuft. Sie ist zudem mit einem eigenen Netzwerk-Stack versehen. Weil der eingebettete Prozessor unabhängig von der CPU (Central Processing Unit) funktioniert, kann er sogar genutzt werden, wenn diese ausgeschaltet ist. Da er außerdem direkten Zugang zum Netzwerk-Interface hat, kann er zur Administration aus der Ferne verwendet werden.

Die SOL-Funktion (Serial over LAN) gehört ebenfalls zu AMT und kann auf den Netzwerk-Stack der Management Engine zugreifen. Dadurch kann sie kommunizieren, selbst wenn das Netzwerk auf dem Host deaktiviert ist. Voraussetzung dafür ist nur, dass das Gerät mit dem Netzwerk physisch verbunden ist. Da SOL unabhängig vom Betriebssystem und den Netzwerkfunktionen des Hosts arbeitet, ist jede darüber ausgeführte Kommunikation unsichtbar für Firewall, Anti-Malware- sowie andere Überwachungssoftware, die auf dem Rechner installiert ist. Diese Eigenschaft macht SOL zu einem idealen Werkzeug für Hacker.

Frühere Versionen des Datei-Transfer-Tools von Platinum nutzten noch herkömmliche Netzwerk-APIs. Die aktuelle Version unterstützt nun erstmals auch SOL. In der Praxis benötigt Platinum jedoch zunächst Admin-Rechte auf dem angegriffenen System. Das liegt daran, dass AMT in der Regel standardmäßig deaktiviert ist. Außerdem werden Admin-Rechte benötigt, um eine SOL-Session aufzubauen. Wenn ein Angriff per SOL entdeckt wird, bedeutet dies also, dass sich Platinum entweder Zugang zu einem lokalen Admin-Account verschafft hat oder dass es der Gruppe irgendwie gelungen ist, einen eigenen Admin-Account anzulegen.

Das Windows Security Blog von Microsoft enthält detaillierte Diagramme und Videos, die erklären, wie der Angriff funktioniert. Nach Ansicht der Sicherheitsforscher nutzt das Platinum-Tool dabei keine eigentlichen Lücken in Intel AMT. Die Technik lasse sich allerdings missbrauchen, um Überwachungs- und Schutzmaßnahmen in einem bereits kompromittierten Netzwerk zu umgehen.

Intel AMT deaktivieren

Weil Platinum eine von Intel bereitgestellte Management-Funktion nutzt, haben Administratoren nur die Möglichkeit, Intel AMT sowie Serial-over-LAN-Verbindungen zu deaktivieren. Die Advanced Threat Protection des Windows Defenders kann allerdings Versuche erkennen, wenn SOL-Verbindungen für Angriffsversuche eingesetzt werden sollen. Darüber hinaus ist es notwendig, alle Admin-Accounts im Unternehmen vor Hackern zu schützen.

Die Platinum-Gruppe verwendet vor allem Spear-Phishing-Attacken und manipulierte MS-Office-Dokumente, um damit bereits bekannte, aber noch nicht geschlossene Sicherheitslücken auszunutzen. Über diese installieren sie Backdoors und anderen Schadcode, um sich dauerhaft in fremden Netzen festzusetzen. Die Ziele von Platinum liegen, soweit bekannt, bislang vor allem in Südostasien. Zu ihnen zählen unter anderem Regierungsbehörden, Unternehmen aus dem militärisch-industriellen Komplex und Geheimdienste, aber auch Firmen aus kritischen Infrastrukturen wie TK-Anbieter.

Es muss jedoch davon ausgegangen werden, dass auch andere Branchen in das Visier der Angreifer geraten werden. Aktuelle Sicherheitsmaßnahmen und -trainings sind deswegen die wichtigste Maßnahme, um Phishing-Attacken zu stoppen und Angreifer daran zu hindern, sich in Netzwerken festzusetzen, um dort dann weiteren Schaden anzurichten.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Advanced Persistent Threats der Geschäftsleitung erklären

Häufige Angriffsmethoden bei APTs

Das Sicherheitsrisiko Phishing

 

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close