![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Apple hat bei einigen Notebooks wohl vergessen, die Intel Management Engine gegen Manipulationen zu sperren und einen Maintenance-Mode offen gelassen. Das ist die neueste Erkenntnis bei der Erforschung der Intel Management Engine.<\/p>\nApple hat bei einigen Notebooks wohl vergessen, die Intel Management Engine gegen Manipulationen zu sperren und einen Maintenance-Mode offen gelassen. Das ist die neueste Erkenntnis bei der Erforschung der Intel Management Engine.<\/p>\n
<\/p>\n
Die Intel Management Engine (Intel ME) ist seit 2008 in den meisten Intel-Chips\u00e4tzen enthalten. Das Ganze ist aber h\u00f6chst umstritten, da es die Angriffsfl\u00e4che der Intel-basierten Hardware erweitert. Bei einer Gef\u00e4hrdung wird es zur Seitenkanalbedrohung f\u00fcr den Hauptprozessor.<\/p>\n
Die Sicherheitsforscher von Positive Technologies haben sich ja seit einiger Zeit der 'Decodierung' der Intel Management Engine verschrieben und durchgreifende Erfolge erzielt (siehe Linkliste am Artikelende). <\/p>\n
Die Electronic Frontier Foundation nannte Intel ME<\/a> im vergangenen Jahr ein Sicherheitsrisiko und forderte eine M\u00f6glichkeit, es zu deaktivieren Mit den Erkenntnissen der Forscher von Positive Technologies ist dies nun m\u00f6glich. Bei der laufenden Erforschung von Intels Management Engine (ME) haben die Sicherheitsforscher von Positive Technologies erneut ein Beispiel f\u00fcr die Kurzsichtigkeit der Entwicklung a la Security by Obscurity aufgedeckt. <\/p>\n The Register hat es hier<\/a> aufgegriffen, aber die Original-Story von Maxim Goryachy und Mark Ermolov findet sich hier<\/a>. Die Forscher konnten zeigen, dass die Intel ME von Chipzilla, neben anderen wenig bekannten Funktionen wie dem High Assurance Platform Modus, einen undokumentierten Manufacturing Mode (Fertigungsmodus) enth\u00e4lt.<\/p>\n \"Der Intel ME Manufacturing Mode ist f\u00fcr die Konfiguration und das Testen der Endplattform w\u00e4hrend der Fertigung vorgesehen und sollte daher vor dem Verkauf und Versand an die Anwender deaktiviert (geschlossen) werden\", schreiben Goryachy und Ermolov. \"Dieser Modus und seine potenziellen Risiken sind jedoch nirgendwo in der \u00f6ffentlichen Dokumentation von Intel beschrieben.\"<\/p>\n Der Herstellungsmodus kann nur mit einem in der Intel ME System Tools-Software enthaltenen Dienstprogramm aufgerufen werden. Dieses ist nicht f\u00fcr die \u00d6ffentlichkeit zug\u00e4nglich. Es ist vorgesehen, wichtige Plattformeinstellungen in einem einmalig programmierbaren Speicher namens Field Programming Fuses (FPF) vor der Auslieferung des Produkts und im internen MFS (Minux File System) von ME auf SPI (Serial Peripheral Interface) Flash-Speicher \u00fcber Parameter, die als CVARs (Configurable NVARs, Named Variables) bekannt sind, zu konfigurieren.<\/p>\n In Chips\u00e4tzen vor Apollo Lake, so konnten Goryachy und Ermolov beobachten, hielt Intel die Zugriffsrechte f\u00fcr seine Management Engine, Gigabit Ethernet und CPU getrennt. Die SPI-Controller in neueren Chips verf\u00fcgen jedoch \u00fcber eine F\u00e4higkeit namens Master Grant, die die im SPI-Deskriptor angegebenen Zugriffsrechte \u00fcberschreibt.<\/p>\n \"Das bedeutet, dass selbst wenn der SPI-Deskriptor den Hostzugriff auf eine SPI-Region von ME verbietet, es f\u00fcr ME m\u00f6glich ist, dass ME trotzdem Zugang gew\u00e4hrt\", erkl\u00e4ren die Forscher. Wie sich nun herausstellt, d\u00fcrfen Ger\u00e4tehersteller den Herstellungsmodus nicht deaktivieren. Damit besteht f\u00fcr einen Angreifer mit lokalem Zugriff die M\u00f6glichkeit, die Intel ME zu \u00e4ndern, um das Schreiben beliebiger Daten zu erm\u00f6glichen.<\/p>\n Mindestens ein Intel-Kunde, n\u00e4mlich Apple, konnte den Herstellungsmodus nicht deaktivieren. Die Forscher analysierten Notebooks mehrerer Computerhersteller und fanden heraus, dass Apple den Manufacturing-Mode aktiviert gelassen hatte. Sie berichteten \u00fcber die Schwachstelle (CVE-2018-4251) und Apple patchte sie im Juni \u00fcber das MacOS High Sierra 10.13.5 Update. Apple schreibt in seiner Beschreibung des Firmware-Problems<\/a>: \"Eine b\u00f6sartige Anwendung mit Root-Rechten kann in der Lage sein, den EFI-Flash-Speicherbereich zu \u00e4ndern\".<\/p>\n Goryachy und Ermolov haben Python-Ccode auf GitHub<\/a> ver\u00f6ffentlicht, um es Endanwendern mit den entsprechenden Intel-Chips zu erm\u00f6glichen, zu \u00fcberpr\u00fcfen, ob der Herstellungsmodus deaktiviert wurde. Die Sicherheitsforscher behaupten, dass Intels Vers\u00e4umnis, eine \u00f6ffentliche Dokumentation seiner Technologie zur Verf\u00fcgung zu stellen, die Benutzer gef\u00e4hrdet. Sie spekulieren, dass die M\u00f6glichkeit, den ME zur\u00fcckzusetzen, ohne das gleiche mit der CPU zu tun, zu anderen Sicherheitsproblemen f\u00fchren k\u00f6nnte. Intel wiegelt zwar ab, aber das Kind ist meiner Meinung nach l\u00e4ngst in den Brunnen gefallen und ersoffen.<\/p>\n \u00c4hnliche Artikel:<\/strong> Apple hat bei einigen Notebooks wohl vergessen, die Intel Management Engine gegen Manipulationen zu sperren und einen Maintenance-Mode offen gelassen. Das ist die neueste Erkenntnis bei der Erforschung der Intel Management Engine.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-210310","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210310","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=210310"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210310\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=210310"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=210310"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=210310"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Intel Management Engine (ME) abschalten<\/a>
Intels Management Engine (ME) erneut gehackt<\/a>
Sicherheit: Angriff auf TPM und Intel ME-Dump<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"