Apple hat bei einigen Notebooks wohl vergessen, die Intel Management Engine gegen Manipulationen zu sperren und einen Maintenance-Mode offen gelassen. Das ist die neueste Erkenntnis bei der Erforschung der Intel Management Engine.
Anzeige
Die Intel Management Engine (Intel ME) ist seit 2008 in den meisten Intel-Chipsätzen enthalten. Das Ganze ist aber höchst umstritten, da es die Angriffsfläche der Intel-basierten Hardware erweitert. Bei einer Gefährdung wird es zur Seitenkanalbedrohung für den Hauptprozessor.
Die Sicherheitsforscher von Positive Technologies haben sich ja seit einiger Zeit der 'Decodierung' der Intel Management Engine verschrieben und durchgreifende Erfolge erzielt (siehe Linkliste am Artikelende).
Die Electronic Frontier Foundation nannte Intel ME im vergangenen Jahr ein Sicherheitsrisiko und forderte eine Möglichkeit, es zu deaktivieren Mit den Erkenntnissen der Forscher von Positive Technologies ist dies nun möglich. Bei der laufenden Erforschung von Intels Management Engine (ME) haben die Sicherheitsforscher von Positive Technologies erneut ein Beispiel für die Kurzsichtigkeit der Entwicklung a la Security by Obscurity aufgedeckt.
The Register hat es hier aufgegriffen, aber die Original-Story von Maxim Goryachy und Mark Ermolov findet sich hier. Die Forscher konnten zeigen, dass die Intel ME von Chipzilla, neben anderen wenig bekannten Funktionen wie dem High Assurance Platform Modus, einen undokumentierten Manufacturing Mode (Fertigungsmodus) enthält.
"Der Intel ME Manufacturing Mode ist für die Konfiguration und das Testen der Endplattform während der Fertigung vorgesehen und sollte daher vor dem Verkauf und Versand an die Anwender deaktiviert (geschlossen) werden", schreiben Goryachy und Ermolov. "Dieser Modus und seine potenziellen Risiken sind jedoch nirgendwo in der öffentlichen Dokumentation von Intel beschrieben."
Der Herstellungsmodus kann nur mit einem in der Intel ME System Tools-Software enthaltenen Dienstprogramm aufgerufen werden. Dieses ist nicht für die Öffentlichkeit zugänglich. Es ist vorgesehen, wichtige Plattformeinstellungen in einem einmalig programmierbaren Speicher namens Field Programming Fuses (FPF) vor der Auslieferung des Produkts und im internen MFS (Minux File System) von ME auf SPI (Serial Peripheral Interface) Flash-Speicher über Parameter, die als CVARs (Configurable NVARs, Named Variables) bekannt sind, zu konfigurieren.
In Chipsätzen vor Apollo Lake, so konnten Goryachy und Ermolov beobachten, hielt Intel die Zugriffsrechte für seine Management Engine, Gigabit Ethernet und CPU getrennt. Die SPI-Controller in neueren Chips verfügen jedoch über eine Fähigkeit namens Master Grant, die die im SPI-Deskriptor angegebenen Zugriffsrechte überschreibt.
"Das bedeutet, dass selbst wenn der SPI-Deskriptor den Hostzugriff auf eine SPI-Region von ME verbietet, es für ME möglich ist, dass ME trotzdem Zugang gewährt", erklären die Forscher. Wie sich nun herausstellt, dürfen Gerätehersteller den Herstellungsmodus nicht deaktivieren. Damit besteht für einen Angreifer mit lokalem Zugriff die Möglichkeit, die Intel ME zu ändern, um das Schreiben beliebiger Daten zu ermöglichen.
Anzeige
Mindestens ein Intel-Kunde, nämlich Apple, konnte den Herstellungsmodus nicht deaktivieren. Die Forscher analysierten Notebooks mehrerer Computerhersteller und fanden heraus, dass Apple den Manufacturing-Mode aktiviert gelassen hatte. Sie berichteten über die Schwachstelle (CVE-2018-4251) und Apple patchte sie im Juni über das MacOS High Sierra 10.13.5 Update. Apple schreibt in seiner Beschreibung des Firmware-Problems: "Eine bösartige Anwendung mit Root-Rechten kann in der Lage sein, den EFI-Flash-Speicherbereich zu ändern".
Goryachy und Ermolov haben Python-Ccode auf GitHub veröffentlicht, um es Endanwendern mit den entsprechenden Intel-Chips zu ermöglichen, zu überprüfen, ob der Herstellungsmodus deaktiviert wurde. Die Sicherheitsforscher behaupten, dass Intels Versäumnis, eine öffentliche Dokumentation seiner Technologie zur Verfügung zu stellen, die Benutzer gefährdet. Sie spekulieren, dass die Möglichkeit, den ME zurückzusetzen, ohne das gleiche mit der CPU zu tun, zu anderen Sicherheitsproblemen führen könnte. Intel wiegelt zwar ab, aber das Kind ist meiner Meinung nach längst in den Brunnen gefallen und ersoffen.
Ähnliche Artikel:
Intel Management Engine (ME) abschalten
Intels Management Engine (ME) erneut gehackt
Sicherheit: Angriff auf TPM und Intel ME-Dump
2015
Das Problem mit dem ersoffenen Kind ist, dass solche Dinge noch immer als technische Probleme begriffen werden. Das sind sie aber nicht. Es sind politische Probleme. Was Intel dort macht, lässt sich immer wieder irgendwie blockieren, umgehen oder nachbessern, aber die Lösung wäre, es zu verbieten. Den Verkauf von technischen Geräten, die auf diese Weise unzugängliche und unkontrollierbare Funktionen beinhalten, zu verbieten.