Neuer Bug in Intels Management Engine (Intel SA-00086)

Sicherheitsforscher haben erneut einen schweren Fehler in der Firmware der Intel Management Engine (Intel ME) 11.0 bis 11.7 gefunden. Auch in der Trusted Execution Engine 3.0 und in den Server Platform Services (SPS 4.0) sind Bugs.


Anzeige

Intel kommt mit seinen Sonderlösungen in Form der Intel Management Engine (Intel ME) und anderer Sicherheitsfeatures für Mainboards nicht aus den Negativschlagzeilen. Alle paar Wochen werden gravierende Sicherheitslücken entdeckt. Jetzt musste der Hersteller erneut eine Sicherheitswarnung (Security Advisory) herausgeben.

Die Sicherheitslücke ermöglicht einem Angreifer unter Windows und Linux Prozesse unter der Management Engine (ME), also unterhalb des eigentlichen Betriebssystems, auszuführen – und potentiell den Rechner auszuspionieren. The Register hat hier die diversen CVEs dokumentiert. Bei heise.de finden sich hier einige deutschsprachige Informationen.

Kritisches Firmware Update (Intel SA-00086)

Nachdem Sicherheitsforscher vor einigen Wochen kritische Sicherheitslücken gefunden haben, veröffentlichte Intel nun das Intel® Management Engine Critical Firmware Update (Intel SA-00086) zu den Sicherheitslücken. Intel schreibt darin, dass man als Reaktion auf Probleme, die von externen Forschern identifiziert wurden, eine umfassende Sicherheitsüberprüfung der folgenden Punkte durchgeführt habe.

  • Intel® Management Engine (Intel® ME)
  • Intel® Trusted Execution Engine (Intel® TXE)
  • Intel® Server Platform Services (SPS)

Als Ergebnis wurden Sicherheitslücken identifiziert, die sich potenziell auf bestimmte PCs, Server und IoT-Plattformen auswirken können. Systeme mit Intel ME Firmware Versionen 11.0.0 bis 11.7.0, SPS Firmware Version 4.0 und TXE Version 3.0 sind betroffen. Diese Firmware-Versionen finden Sie auf bestimmten Prozessoren der:

  • 6th, 7th, und 8th Generation Intel® Core™ Prozessor Familie:
  • Intel® Xeon® Prozessor E3-1200 v5 und v6 Produkt Familie
  • Intel® Xeon® Prozessor Scalable Familie
  • Intel® Xeon® Prozessor W Familie
  • Intel Atom® C3000 Prozessor Familie
  • Apollo Lake Intel Atom® Prozessor E3900 Serie
  • Apollo Lake Intel® Pentium® Prozessoren
  • Intel® Celeron® N und J Serie Prozessoren

Um festzustellen, ob sich die identifizierten Schwachstellen auf ein System auswirken, hat der Hersteller das Intel-SA-00086-Erkennungs-Tool zum Download angeboten. Ich habe das Tool mal versuchsweise ausgeführt und nachfolgende Anzeige erhalten.

Intel ME-Detection Tool

Auf BIOS-Systemen bleibt das Tool übrigens hängen und liefert keine Ergebnisse.

Intel hat ein Firmware-Update der Management Engine (ME) und weiterer Komponenten angekündigt und für OEMs bereitgestellt. Nutzer, deren Systeme betroffen sind, sollen sich an ihren Systemhersteller wenden, um Firmware-Updates für betroffene Systeme zu erhalten.


Anzeige

Firmware-Update verfügbar, aber nur für OEMs

Das Problem in meinen Augen: Das Firmware-Update muss durch die Hersteller der Mainboards verteilt werden – und da dürfte so mancher Nutzer im Regen stehen bleiben. Bisher haben nur die Firmen Fujitsu und Lenovo (Lenovo Security Advisory LEN-17297) reagiert und entsprechende Informationen sowie Updates bereitgestellt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Neuer Bug in Intels Management Engine (Intel SA-00086)

  1. deoroller sagt:

    Sofern der PC nicht aus der Ferne administriert werden muss, sollte man die IME deaktivieren.
    Ich würde es begrüßen, wenn es dazu Hinweise gibt. Und vor allem, ob man da etwas beachten muss, bevor man sich ein neues Mainboard anschafft.
    Alarmierend wäre es, wenn sich IME nicht mehr deaktivieren lässt, wie bei Secure Boot schon oft der Fall ist.
    Es wäre der reinste Horror, wenn sich Malware schon vor dem eigentlichen Booten des OS festsetzt. Darauf läuft es doch hinaus.
    Ich finde deshalb eine Alternative, wie Coreboot interessant, wenn der "legacy BIOS Mode" nicht mehr praktikabel ist.

  2. TorstenJ sagt:

    Die Fernwartung ist nur ein sehr kleiner Teil der Funktionalitäten der Management Engine und außerdem überhaupt nur auf einer Kombination aus Q-Chipsatz (z.B. Q170) und einer handvoll Core i5- und i7-CPUs verfügbar. In der Regel hat man als normaler Heimanwender aber Mainboards mit Z- oder H-Chipsatz.

    Für was die Management Engine heutzutage alles zuständig ist, kann man hier im ersten Absatz (in englisch) lesen:

    https://www.win-raid.com/t596f39-Intel-Management-Engine-Drivers-Firmware-amp-System-Tools.html

  3. Martin sagt:

    Lässt sich mit dem Hinweis, dass es nicht für mein System geeignet sei, nicht installieren. Ich boote die Windows 7 VHD beim Systemstart über den Bootmanager von Windows. Da sollte das ja nicht das Problem sein. Gut, dann lass' ich es eben wie es ist. Biosupdates gibt es ohnehin nicht mehr (5520 Chipsatz und Xeon W5590).

    • Martin sagt:

      Sehr geehrter Herr Born,

      bitte löschen Sie auch meine beiden Posts hier und gerne auch alle jemals von mir geschriebenen!

      Die beiden zum Office-Problem haben Sie ja von sich aus gelöscht, statt dazu einen Kommentar zu schreiben.

  4. bertenwalt sagt:

    hallo,
    Prozessor im lokalen System ist ein clarkdale (i5 660), also eig. lt Liste nicht betroffen.
    Das Erkennungstool sagt allerdings:
    http://666kb.com/i/domy75tw8icujvh07.jpg

    einfach nur etwas schräg die Fehlerausgabe oder ist was dran ("kann Sicherheitslücken…")?

    • TorstenJ sagt:

      Naja, du hast keinen Treiber für die Management Engine im Windows installiert. Daher kann das Tool nicht auf selbige zugreifen, um zu Prüfen, ob die Sicherheitslücke bei deinem PC vorhanden ist oder nicht. Schau mal im Gerätemanager, ob da ein unbekanntes Gerät aufgelistet wird.

      • bertenwalt sagt:

        neee, das ist schon alles vorhanden, wenn auch im Normalfall deaktiv, aber zum Test alles aktiviert sowie im Gerätemanager ganz normal gelistet.
        => Diese Behauptung kommt vom intel-tool (Intel-SA-00086-Erkennungs-Tool, Nov 2017).
        Das tool vom Mai 2017 (INTEL-SA-00075 Detection Tool v1.0.2.116
        – zum IME-bug in 4-2017) gibt u.a. aus:
        …Processor Name: Intel(R) Core(TM) i5 CPU 660 @ 3.33GHz
        ME Information
        Version: 6.2.61.3535
        SKU: Intel(R) Full AMT Manageability…

    • Dekre sagt:

      Hallo @bertenwalt,
      Du hast ein HP Gerät- Lad Dir mal den „HP Softpaq Download Manager" von der HP-Seite runter (wenn Du diesen nicht schon hast) und schau mal ob das was kommt.

      Ich habe zwei Intel Core i7 (einmal Elite 8560w und dann HP Compaq 8300 CMT). Mittels dessen habe ich in Mai 2017 für 8560w eine neue Firmware erhalten und auch aufgespielt. Für den anderen habe ich es gestern aufgespielt. Ich habe von HP auch ein E-Mail erhalten (Support-Alert – habe mich da eingetragen; für 8300 CMT war das Update am 22.11.2017 bereitgestellt). Ansonsten auf der HP Support Geräteseite nach Dein Gerät schauen Für den 8560w kam auch in 08/ oder 09/2017 ein neues BIOS-Update.
      Das Intel Testprogramm weist aus: keine Sicherheitslücke und bezeichnet auch die Firmware-Updates korrekt.

  5. Dekre sagt:

    Für alle die es interessiert und HP Geräte haben. Ich habe heute ein neues Sicherheits-E-Mail von HP bekommen in der die Geräte und die SP (Servicepack)-Nummern aufgelistet sind.
    Das weitere hier:
    https://support.hp.com/us-en/document/c05843704
    Sucht Euch euer Gerät raus.
    Aus gegebenem Anlass – Also HP kann auch mal was richtig machen.

  6. Dekre sagt:

    Hinweis: HP hat wiederum für neuere HP Geräte gilt wohl wirklich nur für neuere mit Intel 6/./7.Gen ?) neue Updates für Intel Management Engine bereitgestellt. Bei mir ist was für ein Prozessor 7.Gen mit Win10 am 06.06.2018 aufgelaufen. HP gibt an:

    # Fixes the Intel ME firmware critical security issue (Intel-SA-00086).
    # Fixes the WiAMT WPA/WPA2 issue (Intel-SA-00101).
    Nach Mitteilung von HP gilt das für Win7 bis Win10.
    Für meine älteren Intel-Prozessoren war nichts im Angebot. Das ist zusätzlich von HP zu dieser Mitteilung:
    https://www.borncity.com/blog/2018/06/06/hp-informationen-zu-derivative-side-channel-angriffen/

    Diese kommen erst ab 12.06.2018 von HP und es werden auch ältere Intel-Prozessoren versorgt, siehe hier:
    https://support.hp.com/us-en/document/c06001626

    Grüße

  7. ralf sagt:

    cve-2018-3655: neue luecke in der intel management engine

    INTEL-SA-00125:
    https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00125.html

    HEISE:
    "Die Lücke ist als schwerwiegend eingestuft, lässt sich allerdings nur dann ausnutzen, wenn der Angreifer physischen Zugriff auf den Computer hat. Betroffen sind jüngere Systeme mit Prozessoren aus den vergangenen 3 Jahren, also ab Intel Skylake…"
    https://www.heise.de/security/meldung/Bug-in-Intels-ME-Firmware-Wieder-BIOS-Updates-noetig-4165732.html

    • Dekre sagt:

      Und da habe ich gerade neue Updates von HP mit Intel ME auf HP-PC mit 7.-Gen.-Prozessor eingespielt. Die waren von August d.J.
      Na ja, entweder der Böse kommt oder er kommt nicht. Die Wahrscheinlichkeit, dass der Böse genau diesen PC befällt, ist gering.

      Witzig ist der "physische Zugriff". Es gibt da mehrere Methoden. Eine ist wegtragen, die zweite wäre über Hacking mit Telefon den indischen Sprachakzent, siehe Günter heute:
      https://www.borncity.com/blog/2018/09/14/achtung-falsche-microsoft-anrufe/
      Bei der ersten ist die Intel ME Lücke wohl nicht das Einfallstor.

Schreibe einen Kommentar zu TorstenJ Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.