Kritische Sicherheitslücke in Intels AMT-Dienst

Authentifizierung mit leerem Passwort-Hash möglich

Experten von Tenable war es gelungen, sich bei AMT einzuloggen, obwohl sie nur einen Teil des Passwort-Hashs gesendet hatten. Bei weiteren Forschungen stellte sich heraus, dass sogar ein vollkommen "leerer" String zur erfolgreichen Authentifizierung ausreicht.
Der Leichtsinn einiger Nutzer macht es Hackern dann besonders einfach, das System zu infiltrieren. Oft wird der Standard-Benutzername "Admin" nicht geändert. Tenable loggte sich im Test mit diesem Usern-Namen und einem frei gewählten Passwort ein und erlangte so die volle Kontrolle über das angegriffene System.
Intel stellt inzwischen ein Analyse-Tool zur Verfügung, mit dem überprüft werden kann, ob das jeweilige System betroffen ist. Ausserdem veröffentlichte der Chip-Hersteller eine Anleitung zur Behebung des Problems.



Das könnte Sie auch interessieren