Intel Management Engine (ME) abschalten

Sicherheitsforschern ist es gelungen, die auf modernen Mainboards enthaltene Intel Management Engine (ME) zu deaktivieren. Damit geht der Wunsch vieler Nutzer in Erfüllung dieses Subsystem abschalten zu können.


Anzeige

Auf modernen Mainboards findet sich die Intel Management Engine (ME), die spezielle Funktionen auf Hardwareebene (unterhalb des Betriebssystems) bereitstellen kann. Problem bei diesem Ansatz:

  • Es ist nicht transparent, was in der Intel Management Engine passiert und welche Daten dort ggf. gesammelt werden.
  • Die Intel Management Engine ist in letzter Zeit durch gravierende Sicherheitslücken aufgefallen (siehe Linksliste), die durch die Board-Hersteller nicht immer per Firmware-Update geschlossen werden.

Viele Nutzer fragten sich, ob man die Intel Management Engine nicht einfach abschalten könne. Eine solche Möglichkeit ist aber wohl nicht vorgesehen, denn Teilfunktionen bleiben immer erhalten, um Basisfunktionen wie die Initialisierung durchzuführen. Bastler arbeiteten sich in der Vergangenheit daran ab, die Firmware auf den Boards soweit zu patchen, dass die Intel Management Engine nicht mehr funktioniert.

Deaktivieren – mit Grüßen von der NSA

Ich bin eben über Kristian Köhntopp auf diesen Artikel gestoßen, der sich mit der Frage der Deaktivierung der Intel Management Engine befasst. Einem Team von Positive Technologies ist es gelungen, tief in die Innereien der Intel Management Engine vorzudringen. Dabei haben sie einen undokumentierten Modus entdeckt, der in Verbindung mit dem High Assurance Platform (HAP) Programm der US-Regierung steht – sprich: Die NSA steckt dahinter.

Problem bei der Analyse der Intel Management Engine ist, dass deren ausführbare Module verschlüsselt in Tabellen vorliegen. Dem Team ist es aber gelungen, die Tabellenstruktur zu knacken. Mit einem Tool ließen sich die Module entschlüsseln und dann analysieren. Irgendwann stieß man auf ein Feld reserve_hap und einen Kommentar 'High Assurance Platform (HAP) enable' in der Nähe dieses Feldes. Dieser Begriff wird durch die Google-Suche aber dem US-Geheimdienst NSA zugeschrieben.

Im Artikel beschreiben die Forscher, wie sie das Bit im Feld gesetzt haben und die Intel Management Engine deaktivieren konnten. Das Ganze ist recht trickreich und nicht ohne Risiken. Wer sich für das Thema begeistert, möge den verlinkten Artikel studieren. Es gibt nun die Hoffnung, dass bald Tools erscheinen, die die komplette Deaktivierung der Intel Management Engine auch für Dummys ermöglichen.

Ähnliche Artikel:
Platinum-Hackergruppe greift Systeme über Intel AMT an
Nice, Intel Management Engine-Cleaner
Neue Details zu Intels AMT/ME Sicherheitslücken
Kritischer Bug in Intel Plattformen, Patch für Exploit verfügbar
Windows 10, Autotreiber-Ärger und Intel "Board-Intelligenz"


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit, Tipps abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Intel Management Engine (ME) abschalten

  1. deoroller sagt:

    IME gibt es nicht bei AMD. Dafür haben sie einen PSP (Platform Security Processor).
    https://www.heise.de/forum/heise-online/News-Kommentare/AMD-Ryzen-Neue-Prozessorfamilie-kommt-am-2-Maerz-und-ist-heute-vorbestellbar/AMD-Pendant-zu-Intels-Management-Engine/thread-5182942/#posting_29994575
    Die müssen wahrscheinlich auch mit den Wölfen heulen, um ein "go for launch" zu bekommen.

  2. wichteldampf sagt:

    tjo, sollte man als Nicht- oder wenigerExperte vorerst eher die Finger von lassen, wenn man den Artikel als Grundlage nimmt. Da kann ja viel schieflaufen, bis hin zum Stillstand der Maschine.
    Ist hier, nach update, im Gerätemanager deaktiviert. Mehr ist mit normal zugänglichen Mitteln nicht machbar. Was eine "Technik", die man sich da seit Jahren gefallen lässt…

  3. vraenkij sagt:

    afaik benötigt IME doch nen Intel NIC, also die onBoard-Netzwerkkarte, bedeutet:
    fürs LAN ne zweite Karte ins System gesteckt, sinnvollerweise dann natürlich Nicht-Intel, und nur die genutzt, die Onboard im Bios auf aus, ist IME ausgehebelt.
    :)

  4. Tim sagt:

    "Viele Nutzer fragten sich, ob man die Intel Management Engine nicht einfach abschalten könne – die die komplette Deaktivierung der Intel Management Engine auch für Dummys ermöglichen."

    Na ich frag mich eher mal ganz andere Dinge…

    Mein letztes Fehlerbild mit sowas war, das Win10 mit falschem/fehlerfaften Treiberset aus der Ecke kommend, nicht mehr den Rechner abschaltete, beim herunterfahren. Eigentlich harmlos, aber…

    Deaktivieren mag zwar einerseits logisch klingen, aber was geht damit dann verloren? Ich mein Intel ist fürs zusammenspiel CPU, Chipsatz und Speicher hier verantwortlich und das Problem ist doch die Software oder vielleicht sogar sowas wie ein Betriebssystem, welches die ganzen Chipsatz und Prozessorfeatures steuert und koordiniert, oder nicht? So hab ich den Kram jedenfalls mal verstanden.

    Was geht alles beim deaktivieren verloren? Mag ja leicht dahin gesagt sein, aber was nützt es schon wenn man danach einen fetten, modernen und teuren i7 hat, der möglicherweise nicht mal mehr leistet, als ein alter mit dreistelliger Nummer?

    Die Lücke ist Mist keine Frage, aber ich frag mich was passiert dann, wenn abschalten die Lösung ist? Ich mein, Leute kaufen heute gerade neue Mainboards, CPUs und alle haben den Mist und kaum wer weiß wirklich, wozu diese Geschichte von Intel eigentlich wirklich da ist. Ohne Grund wird der Kram jedenfalls nicht da sein und einfach abschalten ist halt zu einfach gedacht…

    Wenns Softwareseitig nicht zu lösen ist, muss hier neue Hardware her… Böse, aber simpel. Nur Ausschalten reicht nicht.

  5. Tim sagt:

    "Die NSA steckt dahinter"

    Ja das schwebt einem spätestens seit der Zeit im Kopf rum, seit dem die USA andere Länder beschuldigen, ihre Hardware und Software zu spionagezwecken zu frisieren. Gleichzeitig weiß man von so Schweigeklauseln, also wirds wohl von allen so gemacht und von Herstellern gefordert, egal in welchem Land. Da ist wohl keiner der Schreihälse besser, als der andere. Auf der Ebene ist die Menschheit halt noch immer kaputt und gegeneinander, statt miteinander ist halt das bevorzugte System.

    Lücken wären ja auch kein Problem, wenn nicht einige Arschnasen Geld damit verdienen wollen würden. Da brauchts noch nicht mal die Schlapphüte für, die ihr seltsames Spielchen treiben…

Schreibe einen Kommentar zu wichteldampf Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.