Bug in Chips zerstört ‘Intel x86 Root of Trust’

[English]Alle Intel-CPUs, die in den letzten fünf Jahren veröffentlicht wurden, enthalten einen nicht behebbaren Fehler, der die 'Intel x86 Root of Trust'-Kette beeinträchtigt. Auch von Intel vorgenommene Patches reichen nicht aus, um die Schwachstellen vollständig abzudichten.


Anzeige

Sicherheitsupdates für Intel ME

Intel versuchte zwar, einen Patch zu erstellen, um den Schaden von Exploits zu verringern. Im Intel Security Advisory INTEL-SA-00213 sind diese Maßnahmen und Updates für die Converged Security and Management Engine (CSME) beschrieben – ich hatte im Mai 2019 im Beitrag Sicherheitsupdates für Intel UEFI-BIOS, Intel ME und Windows-/Linux-Treiber darüber berichtet. Aber Sicherheitsforscher sagen, dass das nicht ausreicht, um das System zu 100 % zu schützen.

Neue Entdeckungen von Positive Technologies

Die Sicherheitsfirma Positive Technologies hat diesen Artikel über den Fall veröffentlicht und schreibt: "Das Szenario, das die Systemarchitekten, Ingenieure und Sicherheitsspezialisten von Intel vielleicht am meisten gefürchtet haben, ist nun Realität. Eine im ROM der Intel Converged Security and Management Engine (CSME) gefundene Schwachstelle ermöglicht eine Kompromittierung auf der Hardware-Ebene. Dadurch wird die Vertrauenskette von Intel zerstört.

Mainboard
(Quelle: Pexels Fancycrave CC0 License)

Die Sicherheitsforscher von Positive Technologies haben einen Fehler in der Intel-Hardware sowie einen Fehler in der Intel-CSME-Firmware entdeckt, der in einer sehr frühen Phase des Betriebs des Subsystems, in dessen Boot-ROM, auftritt.


Anzeige

Fortgeschrittene Angreifer können den Fehler ausnutzen, um Intels Enhanced Privacy ID (EPID) (die On-Chip-Verschlüsselungsfunktionen bietet) und den Schutz der digitalen Rechteverwaltung für proprietäre Daten zu umgehen. So könnten sich zentrale Schlüssel und digitale Zertifikate erbeuten lassen. Einzelheiten können im Artikel Positive von Technologies oder in diesem Arstechnica-Artikel nachgelesen werden. Ein deutschsprachiger Beitrag ist bei heise abrufbar.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Bug in Chips zerstört ‘Intel x86 Root of Trust’

  1. DavidXanatos sagt:

    Yes! Sehr gut! DRM gehört nicht in Hardware!
    Firmware muss unter Kontrolle des Hardware Besitzers sein und nicht unter Kontrolle eines Mega-Konzerns.

    Wen eine Firma von Trust spricht bedeutet das nicht das der Benutzer dem System vertrauen kann, sondern das andere Firmen dem System gegen wen willen des Benutzers vertrauen können.

    So zu sagen Trust-Funktionen in der Hardware des eigenen PC ist ein feind im eigenem PC.

    • deoroller sagt:

      Es handelt sich doch meist nicht um den eigenen PC, sondern den Firmenlaptop, der abgesehen vom mobilen Einsatz beim Kunden auch zur Heimarbeit genutzt wird und ein VPN zum Arbeitgeber unterhält. Da darf der Mitarbeiter nicht an die Konfiguration oder ihn so einrichten, wie er es will. Da ist es erwünscht und auch notwendig für die Sicherheit des Unternehmens, dass der Benutzer mit eingeschränkten Rechten arbeitet, sich sich auch keine höhere aneignen kann.

      • DavidXanatos sagt:

        Also erstens, betrifft der ganze Intel ME Murks alle CPU's auch die in Consumer Laptops.
        Zudem gibt es private die sich Busyness Laptops kaufen.

        Das ganze könnte man doch einfach lösen in dem die Boot Keys konfigurierbar wären, sprich wen das System offen ist oder man sich als Eigentümer authentifizieren kann man die Firmware Keys ändern.

        Damit kann eine Firma das System verriegeln so das nur sie es wieder entriegeln kann.
        Und die mündigen Bürger lassen es offen oder organisieren sich was komplexeres wen ihnen danach ist.

    • Nobody sagt:

      "Wen eine Firma von Trust spricht bedeutet das nicht das der Benutzer dem System vertrauen kann, sondern das andere Firmen dem System gegen wen willen des Benutzers vertrauen können."
      Interessante Aussage.
      Ich bin alles andere als ein Fachmann, aber das Gefühl habe ich auch.

    • AE sagt:

      Weil der User auch in der Lage ist immer alles an Code vor der Ausführung gründlich durchzulesen und nur Vertrauenswürdigen Code ausführt, gell? ;)

    • Dekre sagt:

      Interessanter Artikel. Nebenbei wird die generell überflüssige Abkürzung "IMHO" am Ende des Artikels erklärt.

      Der Abküfi kann manchmal nerven, nicht nur in EDV-Blogs, sondern generell in Artikeln aller Brachen.
      (Abküfi = Abkürzungsfimmel). In der Wochenzeitschrift "Weltbühne" wurde das mal intensiv (in den 80er Jahren erschienen) erläutert. Muss mal den Beitrag heraussuchen und einscannen, nehme mir das regelmäßig aus diversen Anlässen vor.

      • folgend h sagt:

        imho ist aber bestens bekannt und, neben anderen Akronymen, sehr sinnvoll einsetzbar. Nix mit Fimmel.
        Entstammt dem usenet – als das noch benutzt wurde, Indernett war noch in Kinderschühchens. Wer damit bereits Schwierigkeiten hat…
        :-P

  2. 1ST1 sagt:

    Ich hatte zu dem Themenkomplex im letzten Frühjahr eine Supportanfrage an unseren Hauptlieferanten für PCs geschickt, an Dell. Da bekam ich die beruhigende Antwort, dass wenn ich die ME ausschalte, dass dann kein Problem besteht. Genau so machen wir es seit dem, auch alle zuvor aufgestellten PCs wurden entsprechend geändert.

  3. Uwe sagt:

    In USA liefert Intel an bestimmte Behörden PC mit deaktivierter ME aus. Warum läßt Intel das nicht überall zu? Warum verheimlicht Intel die Befehle zur Deaktivierung der ME?

    • Schrägar der Heckliche sagt:

      Da ist nichts geheimes dran: Intel ME kann im UEFI (BIOS-Nachfolger) deaktiviert werden – üblicherweise im Menü "Security". Sollte man bei privat genutzten Laptops auch tun…

      • folgend h sagt:

        Die ist dann nur nicht wirklich deaktiviert – DAS ist ja das Problem. Proprietär, undokumentiert, ewig fehlerhaft. Vollkommener Murks!

  4. Dekre sagt:

    Und die Intel-CPUs vor diesen fünf Jahren sind natürlich absolut sicher.

  5. Herr IngoW sagt:

    Ein Gerät mit Intel-Prozessor ist dann sicher ein Risiko für Firmen oder?
    Und natürlich auch im privaten Beriech!

  6. Bernie sagt:

    Bin ich der einzige, der bei "Intel ME" immer ins schmunzeln kommt, weil ich bei "ME" automatisch an "More Errors" denke?

    Benötigt ein PC nicht auch die Intel ME für das speichern des Windows Keys in der CPU? Wäre mal interessant zu wissen, ob man über den Bug im ME auch den Key auslesen kann oder schlimmer, ihn duch einen falschen / ungültigen Key austauschen kann. Oder ob man verhindern kann, dass er überhaupt erst in der CPU gespeichert wird.

  7. Bernard sagt:

    Diese Geschichte ist für Intel eigentlich eine gute Nachricht.

    Denn jetzt kann man die Leute dazu bewegen, alte CPUs, die noch wunderbar funktionieren, durch neue zu ersetzen.

    Das wird ein Riesen-Geschäft.

    Denn bislang konnt man durch eine SSD auch Rechner, die ca. 8 Jahre alt waren, weiterhin ohne Probleme nutzen.

    Jetzt muss man alles ersetzen, also auch RAM, Netzteile, etc.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.