Neuer Bug in Intels Management Engine (Intel SA-00086)

Sicherheitsforscher haben erneut einen schweren Fehler in der Firmware der Intel Management Engine (Intel ME) 11.0 bis 11.7 gefunden. Auch in der Trusted Execution Engine 3.0 und in den Server Platform Services (SPS 4.0) sind Bugs.


Anzeige


Intel kommt mit seinen Sonderlösungen in Form der Intel Management Engine (Intel ME) und anderer Sicherheitsfeatures für Mainboards nicht aus den Negativschlagzeilen. Alle paar Wochen werden gravierende Sicherheitslücken entdeckt. Jetzt musste der Hersteller erneut eine Sicherheitswarnung (Security Advisory) herausgeben.

Die Sicherheitslücke ermöglicht einem Angreifer unter Windows und Linux Prozesse unter der Management Engine (ME), also unterhalb des eigentlichen Betriebssystems, auszuführen – und potentiell den Rechner auszuspionieren. The Register hat hier die diversen CVEs dokumentiert. Bei heise.de finden sich hier einige deutschsprachige Informationen.

Kritisches Firmware Update (Intel SA-00086)

Nachdem Sicherheitsforscher vor einigen Wochen kritische Sicherheitslücken gefunden haben, veröffentlichte Intel nun das Intel® Management Engine Critical Firmware Update (Intel SA-00086) zu den Sicherheitslücken. Intel schreibt darin, dass man als Reaktion auf Probleme, die von externen Forschern identifiziert wurden, eine umfassende Sicherheitsüberprüfung der folgenden Punkte durchgeführt habe.

  • Intel® Management Engine (Intel® ME)
  • Intel® Trusted Execution Engine (Intel® TXE)
  • Intel® Server Platform Services (SPS)

Als Ergebnis wurden Sicherheitslücken identifiziert, die sich potenziell auf bestimmte PCs, Server und IoT-Plattformen auswirken können. Systeme mit Intel ME Firmware Versionen 11.0.0 bis 11.7.0, SPS Firmware Version 4.0 und TXE Version 3.0 sind betroffen. Diese Firmware-Versionen finden Sie auf bestimmten Prozessoren der:

  • 6th, 7th, und 8th Generation Intel® Core™ Prozessor Familie:
  • Intel® Xeon® Prozessor E3-1200 v5 und v6 Produkt Familie
  • Intel® Xeon® Prozessor Scalable Familie
  • Intel® Xeon® Prozessor W Familie
  • Intel Atom® C3000 Prozessor Familie
  • Apollo Lake Intel Atom® Prozessor E3900 Serie
  • Apollo Lake Intel® Pentium® Prozessoren
  • Intel® Celeron® N und J Serie Prozessoren

Um festzustellen, ob sich die identifizierten Schwachstellen auf ein System auswirken, hat der Hersteller das Intel-SA-00086-Erkennungs-Tool zum Download angeboten. Ich habe das Tool mal versuchsweise ausgeführt und nachfolgende Anzeige erhalten.

Intel ME-Detection Tool

Auf BIOS-Systemen bleibt das Tool übrigens hängen und liefert keine Ergebnisse.

Intel hat ein Firmware-Update der Management Engine (ME) und weiterer Komponenten angekündigt und für OEMs bereitgestellt. Nutzer, deren Systeme betroffen sind, sollen sich an ihren Systemhersteller wenden, um Firmware-Updates für betroffene Systeme zu erhalten.


Werbung

Firmware-Update verfügbar, aber nur für OEMs

Das Problem in meinen Augen: Das Firmware-Update muss durch die Hersteller der Mainboards verteilt werden – und da dürfte so mancher Nutzer im Regen stehen bleiben. Bisher haben nur die Firmen Fujitsu und Lenovo (Lenovo Security Advisory LEN-17297) reagiert und entsprechende Informationen sowie Updates bereitgestellt.


Werbung


Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Kommentare zu Neuer Bug in Intels Management Engine (Intel SA-00086)

  1. deoroller sagt:

    Sofern der PC nicht aus der Ferne administriert werden muss, sollte man die IME deaktivieren.
    Ich würde es begrüßen, wenn es dazu Hinweise gibt. Und vor allem, ob man da etwas beachten muss, bevor man sich ein neues Mainboard anschafft.
    Alarmierend wäre es, wenn sich IME nicht mehr deaktivieren lässt, wie bei Secure Boot schon oft der Fall ist.
    Es wäre der reinste Horror, wenn sich Malware schon vor dem eigentlichen Booten des OS festsetzt. Darauf läuft es doch hinaus.
    Ich finde deshalb eine Alternative, wie Coreboot interessant, wenn der “legacy BIOS Mode” nicht mehr praktikabel ist.

  2. TorstenJ sagt:

    Die Fernwartung ist nur ein sehr kleiner Teil der Funktionalitäten der Management Engine und außerdem überhaupt nur auf einer Kombination aus Q-Chipsatz (z.B. Q170) und einer handvoll Core i5- und i7-CPUs verfügbar. In der Regel hat man als normaler Heimanwender aber Mainboards mit Z- oder H-Chipsatz.

    Für was die Management Engine heutzutage alles zuständig ist, kann man hier im ersten Absatz (in englisch) lesen:

    https://www.win-raid.com/t596f39-Intel-Management-Engine-Drivers-Firmware-amp-System-Tools.html

  3. Martin sagt:

    Lässt sich mit dem Hinweis, dass es nicht für mein System geeignet sei, nicht installieren. Ich boote die Windows 7 VHD beim Systemstart über den Bootmanager von Windows. Da sollte das ja nicht das Problem sein. Gut, dann lass’ ich es eben wie es ist. Biosupdates gibt es ohnehin nicht mehr (5520 Chipsatz und Xeon W5590).

    • Martin sagt:

      Sehr geehrter Herr Born,

      bitte löschen Sie auch meine beiden Posts hier und gerne auch alle jemals von mir geschriebenen!

      Die beiden zum Office-Problem haben Sie ja von sich aus gelöscht, statt dazu einen Kommentar zu schreiben.

  4. bertenwalt sagt:

    hallo,
    Prozessor im lokalen System ist ein clarkdale (i5 660), also eig. lt Liste nicht betroffen.
    Das Erkennungstool sagt allerdings:
    http://666kb.com/i/domy75tw8icujvh07.jpg

    einfach nur etwas schräg die Fehlerausgabe oder ist was dran (“kann Sicherheitslücken…”)?

    • TorstenJ sagt:

      Naja, du hast keinen Treiber für die Management Engine im Windows installiert. Daher kann das Tool nicht auf selbige zugreifen, um zu Prüfen, ob die Sicherheitslücke bei deinem PC vorhanden ist oder nicht. Schau mal im Gerätemanager, ob da ein unbekanntes Gerät aufgelistet wird.

      • bertenwalt sagt:

        neee, das ist schon alles vorhanden, wenn auch im Normalfall deaktiv, aber zum Test alles aktiviert sowie im Gerätemanager ganz normal gelistet.
        => Diese Behauptung kommt vom intel-tool (Intel-SA-00086-Erkennungs-Tool, Nov 2017).
        Das tool vom Mai 2017 (INTEL-SA-00075 Detection Tool v1.0.2.116
        – zum IME-bug in 4-2017) gibt u.a. aus:
        …Processor Name: Intel(R) Core(TM) i5 CPU 660 @ 3.33GHz
        ME Information
        Version: 6.2.61.3535
        SKU: Intel(R) Full AMT Manageability…

    • Dekre sagt:

      Hallo @bertenwalt,
      Du hast ein HP Gerät- Lad Dir mal den „HP Softpaq Download Manager” von der HP-Seite runter (wenn Du diesen nicht schon hast) und schau mal ob das was kommt.

      Ich habe zwei Intel Core i7 (einmal Elite 8560w und dann HP Compaq 8300 CMT). Mittels dessen habe ich in Mai 2017 für 8560w eine neue Firmware erhalten und auch aufgespielt. Für den anderen habe ich es gestern aufgespielt. Ich habe von HP auch ein E-Mail erhalten (Support-Alert – habe mich da eingetragen; für 8300 CMT war das Update am 22.11.2017 bereitgestellt). Ansonsten auf der HP Support Geräteseite nach Dein Gerät schauen Für den 8560w kam auch in 08/ oder 09/2017 ein neues BIOS-Update.
      Das Intel Testprogramm weist aus: keine Sicherheitslücke und bezeichnet auch die Firmware-Updates korrekt.

  5. Dekre sagt:

    Für alle die es interessiert und HP Geräte haben. Ich habe heute ein neues Sicherheits-E-Mail von HP bekommen in der die Geräte und die SP (Servicepack)-Nummern aufgelistet sind.
    Das weitere hier:
    https://support.hp.com/us-en/document/c05843704
    Sucht Euch euer Gerät raus.
    Aus gegebenem Anlass – Also HP kann auch mal was richtig machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.