Sicherheitsforscher haben erneut einen schweren Fehler in der Firmware der Intel Management Engine (Intel ME) 11.0 bis 11.7 gefunden. Auch in der Trusted Execution Engine 3.0 und in den Server Platform Services (SPS 4.0) sind Bugs.
Anzeige
Intel kommt mit seinen Sonderlösungen in Form der Intel Management Engine (Intel ME) und anderer Sicherheitsfeatures für Mainboards nicht aus den Negativschlagzeilen. Alle paar Wochen werden gravierende Sicherheitslücken entdeckt. Jetzt musste der Hersteller erneut eine Sicherheitswarnung (Security Advisory) herausgeben.
Die Sicherheitslücke ermöglicht einem Angreifer unter Windows und Linux Prozesse unter der Management Engine (ME), also unterhalb des eigentlichen Betriebssystems, auszuführen – und potentiell den Rechner auszuspionieren. The Register hat hier die diversen CVEs dokumentiert. Bei heise.de finden sich hier einige deutschsprachige Informationen.
Kritisches Firmware Update (Intel SA-00086)
Nachdem Sicherheitsforscher vor einigen Wochen kritische Sicherheitslücken gefunden haben, veröffentlichte Intel nun das Intel® Management Engine Critical Firmware Update (Intel SA-00086) zu den Sicherheitslücken. Intel schreibt darin, dass man als Reaktion auf Probleme, die von externen Forschern identifiziert wurden, eine umfassende Sicherheitsüberprüfung der folgenden Punkte durchgeführt habe.
- Intel® Management Engine (Intel® ME)
- Intel® Trusted Execution Engine (Intel® TXE)
- Intel® Server Platform Services (SPS)
Als Ergebnis wurden Sicherheitslücken identifiziert, die sich potenziell auf bestimmte PCs, Server und IoT-Plattformen auswirken können. Systeme mit Intel ME Firmware Versionen 11.0.0 bis 11.7.0, SPS Firmware Version 4.0 und TXE Version 3.0 sind betroffen. Diese Firmware-Versionen finden Sie auf bestimmten Prozessoren der:
Anzeige
- 6th, 7th, und 8th Generation Intel® Core™ Prozessor Familie:
- Intel® Xeon® Prozessor E3-1200 v5 und v6 Produkt Familie
- Intel® Xeon® Prozessor Scalable Familie
- Intel® Xeon® Prozessor W Familie
- Intel Atom® C3000 Prozessor Familie
- Apollo Lake Intel Atom® Prozessor E3900 Serie
- Apollo Lake Intel® Pentium® Prozessoren
- Intel® Celeron® N und J Serie Prozessoren
Um festzustellen, ob sich die identifizierten Schwachstellen auf ein System auswirken, hat der Hersteller das Intel-SA-00086-Erkennungs-Tool zum Download angeboten. Ich habe das Tool mal versuchsweise ausgeführt und nachfolgende Anzeige erhalten.
Auf BIOS-Systemen bleibt das Tool übrigens hängen und liefert keine Ergebnisse.
Intel hat ein Firmware-Update der Management Engine (ME) und weiterer Komponenten angekündigt und für OEMs bereitgestellt. Nutzer, deren Systeme betroffen sind, sollen sich an ihren Systemhersteller wenden, um Firmware-Updates für betroffene Systeme zu erhalten.
Firmware-Update verfügbar, aber nur für OEMs
Das Problem in meinen Augen: Das Firmware-Update muss durch die Hersteller der Mainboards verteilt werden – und da dürfte so mancher Nutzer im Regen stehen bleiben. Bisher haben nur die Firmen Fujitsu und Lenovo (Lenovo Security Advisory LEN-17297) reagiert und entsprechende Informationen sowie Updates bereitgestellt.
Anzeige
Sofern der PC nicht aus der Ferne administriert werden muss, sollte man die IME deaktivieren.
Ich würde es begrüßen, wenn es dazu Hinweise gibt. Und vor allem, ob man da etwas beachten muss, bevor man sich ein neues Mainboard anschafft.
Alarmierend wäre es, wenn sich IME nicht mehr deaktivieren lässt, wie bei Secure Boot schon oft der Fall ist.
Es wäre der reinste Horror, wenn sich Malware schon vor dem eigentlichen Booten des OS festsetzt. Darauf läuft es doch hinaus.
Ich finde deshalb eine Alternative, wie Coreboot interessant, wenn der "legacy BIOS Mode" nicht mehr praktikabel ist.
Zumindest gibt Intel schon mal zu dort ein Problem erschaffen zu haben das ist schon mal ein schritt zur Besserung.
Ich nehme mal an das es eh keine Intel Mainboards mehr ohne Intel(R) Management Engine gibt, außer vielleicht bei Ebay oder vielleicht in meiner Krimkramskiste.
Deaktivieren der IME ist nicht so ganz einfach – erfordert einen Hack hatte ich irgendwo im Blog erwähnt.
Intel Management Engine (ME) abschalten
Die Fernwartung ist nur ein sehr kleiner Teil der Funktionalitäten der Management Engine und außerdem überhaupt nur auf einer Kombination aus Q-Chipsatz (z.B. Q170) und einer handvoll Core i5- und i7-CPUs verfügbar. In der Regel hat man als normaler Heimanwender aber Mainboards mit Z- oder H-Chipsatz.
Für was die Management Engine heutzutage alles zuständig ist, kann man hier im ersten Absatz (in englisch) lesen:
https://www.win-raid.com/t596f39-Intel-Management-Engine-Drivers-Firmware-amp-System-Tools.html
Lässt sich mit dem Hinweis, dass es nicht für mein System geeignet sei, nicht installieren. Ich boote die Windows 7 VHD beim Systemstart über den Bootmanager von Windows. Da sollte das ja nicht das Problem sein. Gut, dann lass' ich es eben wie es ist. Biosupdates gibt es ohnehin nicht mehr (5520 Chipsatz und Xeon W5590).
Sehr geehrter Herr Born,
bitte löschen Sie auch meine beiden Posts hier und gerne auch alle jemals von mir geschriebenen!
Die beiden zum Office-Problem haben Sie ja von sich aus gelöscht, statt dazu einen Kommentar zu schreiben.
Hm, war mir nicht bewusst, dass ich irgend etwas gelöscht hätte (außer zum Problem mit dem verunglückten Zurücklesen des Backups).
hallo,
Prozessor im lokalen System ist ein clarkdale (i5 660), also eig. lt Liste nicht betroffen.
Das Erkennungstool sagt allerdings:
http://666kb.com/i/domy75tw8icujvh07.jpg
einfach nur etwas schräg die Fehlerausgabe oder ist was dran ("kann Sicherheitslücken…")?
Naja, du hast keinen Treiber für die Management Engine im Windows installiert. Daher kann das Tool nicht auf selbige zugreifen, um zu Prüfen, ob die Sicherheitslücke bei deinem PC vorhanden ist oder nicht. Schau mal im Gerätemanager, ob da ein unbekanntes Gerät aufgelistet wird.
neee, das ist schon alles vorhanden, wenn auch im Normalfall deaktiv, aber zum Test alles aktiviert sowie im Gerätemanager ganz normal gelistet.
=> Diese Behauptung kommt vom intel-tool (Intel-SA-00086-Erkennungs-Tool, Nov 2017).
Das tool vom Mai 2017 (INTEL-SA-00075 Detection Tool v1.0.2.116
– zum IME-bug in 4-2017) gibt u.a. aus:
…Processor Name: Intel(R) Core(TM) i5 CPU 660 @ 3.33GHz
ME Information
Version: 6.2.61.3535
SKU: Intel(R) Full AMT Manageability…
"Die Firmware-Schwachstellen betreffen sehr viele Intel-Produkte aus den vergangenen zwei Jahren, also seit Skylake (Core i3/i5/i7-6000, 2015)."
sowie "Firmware der Management Engine (ME 11.0 bis 11.7)"
https://www.heise.de/security/meldung/Intel-stopft-neue-Sicherheitsluecken-der-Management-Engine-SA-00086-3895175.html
Intels clarkdale ist aus 2010/11. IME 6x ist ebenfalls nicht betroffen. Da war das Erkennungstool wohl eher ungenau.
Hallo @bertenwalt,
Du hast ein HP Gerät- Lad Dir mal den „HP Softpaq Download Manager" von der HP-Seite runter (wenn Du diesen nicht schon hast) und schau mal ob das was kommt.
Ich habe zwei Intel Core i7 (einmal Elite 8560w und dann HP Compaq 8300 CMT). Mittels dessen habe ich in Mai 2017 für 8560w eine neue Firmware erhalten und auch aufgespielt. Für den anderen habe ich es gestern aufgespielt. Ich habe von HP auch ein E-Mail erhalten (Support-Alert – habe mich da eingetragen; für 8300 CMT war das Update am 22.11.2017 bereitgestellt). Ansonsten auf der HP Support Geräteseite nach Dein Gerät schauen Für den 8560w kam auch in 08/ oder 09/2017 ein neues BIOS-Update.
Das Intel Testprogramm weist aus: keine Sicherheitslücke und bezeichnet auch die Firmware-Updates korrekt.
Für alle die es interessiert und HP Geräte haben. Ich habe heute ein neues Sicherheits-E-Mail von HP bekommen in der die Geräte und die SP (Servicepack)-Nummern aufgelistet sind.
Das weitere hier:
https://support.hp.com/us-en/document/c05843704
Sucht Euch euer Gerät raus.
Aus gegebenem Anlass – Also HP kann auch mal was richtig machen.
Auch MEDION hat reagiert
http://community.medion.com/t5/FAQs/FAQs-zur-Intel-Management-Engine-SA-00086/ta-p/50926
Schöne Grüße
Hinweis: HP hat wiederum für neuere HP Geräte gilt wohl wirklich nur für neuere mit Intel 6/./7.Gen ?) neue Updates für Intel Management Engine bereitgestellt. Bei mir ist was für ein Prozessor 7.Gen mit Win10 am 06.06.2018 aufgelaufen. HP gibt an:
# Fixes the Intel ME firmware critical security issue (Intel-SA-00086).
# Fixes the WiAMT WPA/WPA2 issue (Intel-SA-00101).
Nach Mitteilung von HP gilt das für Win7 bis Win10.
Für meine älteren Intel-Prozessoren war nichts im Angebot. Das ist zusätzlich von HP zu dieser Mitteilung:
https://www.borncity.com/blog/2018/06/06/hp-informationen-zu-derivative-side-channel-angriffen/
Diese kommen erst ab 12.06.2018 von HP und es werden auch ältere Intel-Prozessoren versorgt, siehe hier:
https://support.hp.com/us-en/document/c06001626
Grüße
Hinweis zum Intel-SA-00086-Erkennungstool. Die letzte Version von Intel zu diesem Tool ist V. 1.1.169.0 vom 24.01.2018.
Intel weist darauf hin, das ältere Versionen des Erkennungstool nicht auf CVE-2017-5711 und CVE-2017-5712 überprüfen, ergo = das Tool neu herunterlasen und prüfen. Den Link hat Günter oben angegeben. Hier noch einmal:
https://downloadcenter.intel.com/download/27150
Vielleicht kann Günter einen neuen Blogbeitrag machen.
Danke für den Hinweis – schaue, ob ich die Tage darauf hinweise.
cve-2018-3655: neue luecke in der intel management engine
INTEL-SA-00125:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00125.html
HEISE:
"Die Lücke ist als schwerwiegend eingestuft, lässt sich allerdings nur dann ausnutzen, wenn der Angreifer physischen Zugriff auf den Computer hat. Betroffen sind jüngere Systeme mit Prozessoren aus den vergangenen 3 Jahren, also ab Intel Skylake…"
https://www.heise.de/security/meldung/Bug-in-Intels-ME-Firmware-Wieder-BIOS-Updates-noetig-4165732.html
Und da habe ich gerade neue Updates von HP mit Intel ME auf HP-PC mit 7.-Gen.-Prozessor eingespielt. Die waren von August d.J.
Na ja, entweder der Böse kommt oder er kommt nicht. Die Wahrscheinlichkeit, dass der Böse genau diesen PC befällt, ist gering.
Witzig ist der "physische Zugriff". Es gibt da mehrere Methoden. Eine ist wegtragen, die zweite wäre über Hacking mit Telefon den indischen Sprachakzent, siehe Günter heute:
https://www.borncity.com/blog/2018/09/14/achtung-falsche-microsoft-anrufe/
Bei der ersten ist die Intel ME Lücke wohl nicht das Einfallstor.