![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Noch ein kurzer Hinweis f\u00fcr Anwender, die Systeme mit Intels Active Management Technology (AMT) verwenden. Eine Hackergruppe mit dem Namen Platinum nutzt ein AMT-Feature aus, um in Asien gezielt Systeme per Ethernet anzugreifen.<\/p>\nNoch ein kurzer Hinweis f\u00fcr Anwender, die Systeme mit Intels Active Management Technology (AMT) verwenden. Eine Hackergruppe mit dem Namen Platinum nutzt ein AMT-Feature aus, um in Asien gezielt Systeme per Ethernet anzugreifen.<\/p>\n
<\/p>\n
Die Active Management Technology (AMT) ist ein Feature von Intel\u00ae vPro\u2122 Prozessoren und Chipsets und erm\u00f6glicht eine Remote-Verwaltung von Ger\u00e4ten. AMT wird in der Intel Management Engine (ME) ausgef\u00fchrt. Diese ME verwendet ein eigenes Betriebssystem, welches auf den Chipsets in eigenen Prozessoren ausgef\u00fchrt wird. <\/p>\n Das Thema war erst Anfang Mai 2017 hier im Blog (siehe Kritischer Bug in Intel Plattformen, Patch f\u00fcr Exploit verf\u00fcgbar<\/a> und Neue Details zu Intels AMT\/ME Sicherheitsl\u00fccken<\/a>), weil Intel eingestehen musste, dass eine gravierende Sicherheitsl\u00fccke in der Firmware existiert. Leider werden diese Sicherheitsl\u00fccken auf einige Boards wohl ungepatcht bleiben. <\/p>\n Intels AMT enth\u00e4lt ein Serial-over-LAN (SOL)-Feature, welches ein virtuelles serielles Ger\u00e4t mit einem vom Chipset bereitgestellten Kommunikationskanal \u00fcber TCP vorh\u00e4lt. <\/p>\n Dieses Feature ist unabh\u00e4ngig vom Betriebssystem. Die Management Engine (ME) verwendet einen eigenen Netzwerkstack mit Zugriff auf die Netzwerkadapter der Hardware. Bedeutet: Selbst wenn jemand die Netzwerkfunktionen unter Windows oder anderen Betriebssystemen deaktiviert oder deinstalliert, sorgt die Malware Intel ME, dass eine Kommunikation per SOL \u00fcber die Netzwerkschnittstellen m\u00f6glich ist. Abhilfe schafft eigentlich nur noch, das Kabel kappen und WiFi-Verbindungen tot legen. <\/p>\n Das obige Schaubild von Microsoft verdeutlicht das Schlamassel. Windows Defender ATP kann aber diese Angriffe erkennen und die Netzwerkadministratoren warnen. Administratoren sollten versuchen AMT im BIOS-Setup zu deaktivieren oder nachsehen, ob die SoL-Funktion per MEBx-Setup<\/a> abschalten. Weitere Details zum Angriff lassen sich in Microsofts englischsprachigem Blog-Beitrag<\/a> nachlesen. Ein deutschsprachiger Artikel findet sich bei heise.de<\/a>. Es sind am Ende des Tages immer die von den Herstellern eingebauten 'Sicherheitserweiterungen' und 'Zusatzfeatures', die sich als Backdoor und Sicherheitsrisiko erweisen.<\/p>\n","protected":false},"excerpt":{"rendered":" Noch ein kurzer Hinweis f\u00fcr Anwender, die Systeme mit Intels Active Management Technology (AMT) verwenden. Eine Hackergruppe mit dem Namen Platinum nutzt ein AMT-Feature aus, um in Asien gezielt Systeme per Ethernet anzugreifen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[6270,4328],"class_list":["post-191334","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-intel-amt","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191334","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191334"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191334\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191334"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191334"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191334"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Microsoft berichtet im Beitrag PLATINUM continues to evolve, find ways to maintain invisibility<\/a>, dass die Hackergruppe Plantinum Systeme in Asien angreift. K\u00fcrzlich ist man auf einen neuen Angriffsansatz gesto\u00dfen. Mit dem von der Gruppe entwickelten File-Fransfer Tool versucht man den Intel\u00ae Active Management Technology (AMT) Serial-over-LAN (SOL)-Kommunikationskanal zu nutzen, um Dateien unbeobachtet von den Systemen abzuziehen. Denn dieser SOL-Kommunikationskanal arbeitet unabh\u00e4ngig vom Betriebssystem und der Datenverkehr wird weder von den Firewalls noch von den Netzwerk\u00fcberwachungsfunktionen \u00fcberpr\u00fcft. <\/p>\n
Active Management Technology (AMT) <\/h2>\n
AMT Serial-over-LAN (SOL)<\/h2>\n<\/p>\n
![](\"https:\/\/web.archive.org\/web\/20171216194200\/https:\/\/msdnshared.blob.core.windows.net\/media\/2017\/06\/2-AMT-SOL-device.png\"\/)
(Quelle: Microsoft)<\/p>\n![\"AMT](\"https:\/\/web.archive.org\/web\/20171216194201\/https:\/\/msdnshared.blob.core.windows.net\/media\/2017\/06\/3-AMT-SOL-component-stack.png\")
<\/a>(Quelle: Microsoft) <\/p>\n