Die auf vielen Mainboards mit Intel CPU enthaltene Intel Management Engine (Intel ME) ist laut Sicherheitsexperten hackbar. Hier einige Informationen zu den neuesten Erkenntnissen.
Anzeige
Zur Intel Management Engine (Intel ME) hatte ich ja schon einige Blog-Beiträge. Meist ging es um Sicherheitsprobleme. Die Intel ME läuft direkt auf dem Mainboard und ist quasi ein Betriebssystem unter dem eigentlichen Betriebssystem. Es ist aber eine proprietäre Technologie, die aus einem Mikrocontroller besteht, der in den Platform Controller Hub (PCH) Mikrochip mit einer Reihe von integrierten Peripheriegeräten integriert ist.
Da das PCH fast die gesamte Kommunikation zwischen dem Prozessor und externen Geräten abwickelt, hat die Intel ME daher Zugriff auf fast alle Daten auf dem Computer. Zudem besitzt die Intel ME die Fähigkeit, Code von Drittanbietern auszuführen.
Bei heise.de gibt es diesen Artikel, der ein paar Informationen zur Intel ME enthält. Das Problem: Das Teil ist in weiten Teilen undokumentiert und fällt durch Sicherheitslücken auf. Wird die Intel ME gehackt, hat der Angreifer volle Kontrolle über das System, ohne das Virenscanner dies mitbekommen und eingreifen können. Bisher wurden Sicherheitslücken bekannt, und die Board-Hersteller bringen nicht immer Patches.
In letzter Zeit stieg das Interesse der Sicherheitsforscher an der Analyse der Intel ME. Einer der Gründe dafür ist die Umstellung dieses Subsystems (Intel ME 11+) auf eine neue Hardware- (x86) und Software-Architektur (geändertes MINIX als Betriebssystem). Die x86-Plattform ermöglicht es Forschern, binären Code-Analyse-Tools zur Ausforschen einzusetzen.
Neue Intel ME-Lücken?
Es gibt aktuell wohl nur dieser Black Hat-Ankündigung (Englisch), die heise.de hier aufgegriffen hat. Die Sicherheitsforscher Mark Ermolov und Maxim Goryachy der russischen Sicherheitsfirma Positive Technologies (PTE) haben eine Sicherheitslücke in einem Subsystem der Intel ME 11+ entdeckt. Diese lässt sich verwenden, um eigenen und unsignierten Code auf Ebene der Intel ME (konkret im PCH-Mikrochip) auf jedem Motherboard über Skylake+ ausführen zu lassen.
Das Hauptsystem bleibt durch injizierten Code funktionsfähig, so dass der Benutzer den Befall durch Malware nicht einmal feststellen kann. Und diese Malware ist persistent gegen eine Neuinstallation des Betriebssystems und übersteht auch ein BIOS-Update. Die Erkenntnisse sollen in 10 Wochen auf der Black Hat-Konferenz Europe (London) vorgestellt werden.
Die Sicherheitsforscher sind übrigens keine Unbekannten auf dem Gebiet der Intel ME. Sie hatten vor einigen Monaten gezeigt, wie man die Intel ME durch einen Hack abschalten kann. Ich war im Artikel Intel Management Engine (ME) abschalten auf diesen Sachverhalt eingegangen. Die Kritik vieler Sicherheitsforscher beruht darauf, dass die Intel ME undokumentiert und nicht einfach abschaltbar ist. Weitere Informationen zum Thema lassen sich bei heise.de nachlesen.
Ähnliche Artikel:
Platinum-Hackergruppe greift Systeme über Intel AMT an
Nice, Intel Management Engine-Cleaner
Neue Details zu Intels AMT/ME Sicherheitslücken
Kritischer Bug in Intel Plattformen, Patch für Exploit verfügbar
Windows 10, Autotreiber-Ärger und Intel "Board-Intelligenz"
Intel Management Engine (ME) abschalten
Anzeige
2015
"Intel ME undokumentiert und nicht einfach abschaltbar ist"
Wär das nicht auch Quatsch?
Ich dachte das wäre gerade sowas wie eine Schaltzentrale mit Optimierungen für Chipsatz und Co damits halt – hoffentlich – rund läuft.
Doof wenns Lücken aufweist, aber dann muss Intel halt wohl mal ran, wenn überhaupt möglich, ohne direkt auch neue Hardware.
Mir fällt der Kram immer nur auf, wenn man den Treiber dazu installieren muß, weil irgendwas sonst nicht funktioniert, wie Win10, welches ohne den richtigen Treiber bei manchen Systemen nicht herunterfährt, bzw am Ende den Rechner nicht abschaltet, sondern an diesem Punkt hängen bleibt. Weiß nicht, obs dann fehlerhafte oder schlicht zu anderer Hardware passende Treiber sind, zu denen man dann zurückrudert.
Öhhhm… die Treiber zu denen man dann zurückrudert funktionieren dann natürlich. Die neuesten sind halt ab und an ein Problem
Es gab wohl mal einen Treiber der das Intels Management Engine (ME) in den Diensten Deaktiviert hat, aber wie @Tim schon schreibt gibts ein Problem bei neuen Treibern, die dann auch noch ungefragt unter Windows 10 geladen werden ob die den Dienst auch wieder Automatisch Deaktivieren.
was denn,
eine ziemlich überflüssige, privat nicht benötigte/gewollte, dafür recht eindeutige und autarke Backdoor, die mit fast allen Rechten fast alles machen kann, zu deaktivieren oder auch nur zu konfigurieren oder einzuschränken, wäre "Quatsch"?
achnee, spy heißt ja nun "Optimierungen für Chipsatz und Co".
na dann proost…