Im August 2015 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Kurzinfo herausgegeben (CB-K15/1256), welche vor einer möglichen Sicherheitslücke in nicht provisionierten Computersystemen, welche die Management-Technologie „Active Management Technology" des Herstellers Intel besitzen, warnt.
Das BSI empfiehlt in dieser Meldung, dass auf betroffenen Computersystemen ein auf jedem Client unterschiedliches Kennwort für das AMT-Subsystem vergeben wird.
In der Kurzinfo heißt es weiter:
"Durch Ausnutzen eines unsicheren Auslieferungszustandes von (unprovisionierten) PCs und anderen Intel-Systemen mit (...) AMT kann ein lokaler, nicht authentisierter Angreifer dauerhaft einen Computer übernehmen und in Folge auch über das Internet die vollständige Kontrolle erhalten."
Das Risiko wird als hoch bewertet (Stufe 4).
Die Consultants der SOFTTAILOR haben mittlerweile bei verschiedenen Kunden die Intel AMT System gesichert, dies sowohl mit den Lösungen von HEAT Software als auch mit Microsoft SCCM.
HEAT Software hat in der DSM Lösung Intel vPro Unterstützung direkt eingebaut.
Microsoft SCCM hatte bis Version 2012 R2 noch das Feature „Out of Band Management" für diesen Zweck, ab dem System Center Configuration Manager Current Branch (Version 1511) wurde diese Funktion ersatzlos gestrichen. Das von Intel bereitgestellte Intel SCS-Framework oder die Intel SCS Plattfom Discovery Utility kann aber in SCCM integriert werden und so kann auch mit SCCM noch eine Verwaltung der Intel AMT Systeme erfolgen.
Wir empfehlen, die bestehenden Endgeräte auf das Vorhandensein der Intel AMT Technik zu prüfen und sicherzustellen, dass der Zugang mit einem Zufallskennwort pro Gerät gesichert wird.