Intel warnt vor einer Lücke in der Management-Engine

intel management engine
Security

Intel hat jetzt eine offizielle Warnung vor einer Lücke in der Intel Management-Engine gepostet. Diese Sicherheitsanfälligkeit wurde während einer Sicherheitsüberprüfung identifiziert und betrifft die Intel Management Engine (ME), die Intel Server Platform Services (SPS) und die Intel Trusted Execution Engine (TXE).

Über die Schwere der Lücke sagt Intel:

Die Intel Management Platform (SPS) und die Intel Trusted Execution Engine sowie Intel ME Features und Secrets (TXE) sind geschützt. Das bedeutet, dass Angreifer nur Folgendes tun könnten. Die ME / SPS / TXE wird nachgeahmt, was sich auf die Gültigkeit der lokalen Sicherheitsfunktionen auswirkt. Das Laden und Verwalten von Code außerhalb des Betriebssystems führt dann zu Systemabstürzen oder Systeminstabilität.

Zeitleiste

Update 30.11.: MSI schließt Management-Engine Lücke

MSI hat gegen die Intel-Sicherheitslücke ein MSI-Motherboard-Updates bereitgestellt, berichtet Gamestar. Sie können ein Tool von MSI herunterladen, um Motherboards mit Intel Skylake- und Kaby Lake-Prozessoren zu patchen. Für MSI Z370 benötigen Sie ein BIOS-Update.

Update 24.11.: BSI warnt vor Intel-Lücke

Das BSI hat eine Intel Management-Engine, Intel Server Platform Services und Intel Trusted Execution Technology sowie Intel Manageability Firmware veröffentlicht. Das Risiko wird als „hoch“ eingestuft. Lücken könnten lokal genutzt werden.

Fast alle Plattformen sind befallen

Alle Plattformen, die Intel in den letzten Jahren veröffentlicht hat, sind gefährdet. Die Liste enthält Intel Core, Intel Xeon E3-1200 v5 und v6, Xeon-Prozessor skalierbar, Xeon-Prozessor W, Atom C3000, Apollo Lake Atom oder Pentium, sowie die Celeron N oder J. Obwohl Intel in der Zwischenzeit die Lücken geschlossen hat, wird es noch einige Zeit dauern, bis alle Benutzer wieder geschützt sind. Der Mikrocode, der die Lücken schließt, wird über Firmware-Updates geliefert.

Gefährdetes Betriebssystem

Angesichts der neuen Lücke ist Intel erneut gefordert, IME Benutzer fit zu halten oder eine externe Sicherheitsfreigabe zuzulassen. Die Management-Engine, die beim Booten, der Laufzeit und im Leerlauf aktiv ist, wird von der permanenten 5-V-Versorgung des Netzteils gespeist. Die Firmware ist eine Binärdatei, die von Intel kryptografisch signiert wurde. Der IME ist nicht konsistent dokumentiert. Im Kontext von ME führt die CPU unbekannten und nicht nachprüfbaren Code aus, auf den der Käufer der Intel-CPUs keinen Einfluss hat.

Sicherheitsexperten zeigten, wie eine Sicherheitslücke in Intels ME-Firmware ausgenutzt werden kann, um unsignierten Code zu starten. Der ME hat prinzipiell uneingeschränkten Zugriff auf die Hardware des Systems, kann aber nicht von Virenscannern überwacht werden.

Intels Management Engine (ME), die seit rund zehn Jahren auf fast jedem Computer mit Intel-Chips läuft, wird von vielen Sicherheitsexperten kritisiert. Eine in der ME verankerte Malware kann nicht durch Neuinstallation des Betriebssystems oder Ersetzen von Medien entfernt werden. Daher schützt Intel die ME-Firmware mit zahlreichen Maßnahmen gegen bösartigen Code und Angriffe.

Intel hat trotz der schon langen Laufzeit des Systems den Betrieb des ME noch nicht im Detail offiziell dokumentiert. Während einige seiner Funktionen, wie Active Management Technology (AMT), bekannte und grundlegende Konzepte sind, die von Intel-Mitarbeiter Xiaoyu Ruan beschrieben wurden, ist das kostenlose E-Book „Platform Embedded Security Technology Revealed“ nur eine kleine Möglichkeit, die Ãœbersicht über die gesamte Leistung zu erhalten .

Nicht die erste Lücke

Erst im Mai musste Intel eine kritische Lücke in der ME-Firmware schließen. Darüber hinaus benötigten viele Motherboards BIOS-Updates. Selbst diese Updates erreichen nicht viele PC-Benutzer, weshalb sie unabsichtlich weiterhin mit anfälligen Systemen arbeiten. Für ältere Motherboards, PCs und Notebooks liefern die Hersteller oft keine BIOS-Updates mehr. Dies bedeutet, dass der Computer auch defekt ist. Für eingebettete Systeme und Server können Firmware-Aktualisierungen sehr zeitaufwendig sein. Eine Kritik am ME-Konzept ist, dass die aufwendige Firmware viel Komplexität in die Systeme bringt, was das Risiko von Sicherheitslücken erhöht. Viele Käufer möchten jedoch die ME-Funktionen nur sicher ausschalten.

Ob ein Patch oder BIOS-Update tatsächlich für Ihren Computer verfügbar ist, hängt vom Hersteller Ihres Computers oder vom Hersteller des Motherboards Ihres Computers ab. Das BSI hat Links zu den Patches / Sicherheitsupdates von Intel, Dell, Fujitsu und Lenovo veröffentlicht. Angreifer können Sicherheitslücken in aktuellen Intel-Prozessoren nutzen, um die Kontrolle über PCs von Drittanbietern zu übernehmen. Intel meldet diese Sicherheitsanfälligkeiten in diesem Sicherheitshinweis. Vereinfacht ausgedrückt ist jeder Desktop-Computer und jedes Notebook mit einem relativ neuen Intel-Prozessor und vielen Serversystemen anfällig für Angriffe durch feindliche Angreifer.

Für die Windows-Version und Linux Anwender sind gibt es eine Software die diese Sicherheitslücke aufdeckt. Mit dem kostenlosen englischsprachigen Intel-SA-00086-Erkennungs-Tool können Besitzer von Windows 7, 8.1 und 10 Computern sowie Linux ihre Computer überprüfen, um festzustellen, ob die Sicherheitsanfälligkeit vorhanden ist. Anschließend müssen sie über die Updates der Hersteller diese Sicherheitslücke schließen.