> > > > Management Engine bei Intel mit offener Sicherheitslücke seit 2010

Management Engine bei Intel mit offener Sicherheitslücke seit 2010

Veröffentlicht am: von

intel

Eine seit 2010 offene Sicherheitslücke in der Management Engine (ME) beschäftigt das Unternehmen Intel bzw. Kunden der entsprechenden Prozessoren derzeit. Die Management Engine ist Bestandteil aller Desktop-, Server- und Notebook-Prozessoren seit der Nehalem-Generation, wobei nicht alle Modelle betroffen sind, denn die Management Engine muss auch aktiviert sein, damit die Sicherheitslücke tatsächlich besteht.

Über die Management Engine ermöglicht Intel die Wartung von Systemen von zentraler Stelle aus, was besonders im Server-Umfeld häufig genutzt wird. Allerdings bietet eine solche Fernwartungsfunktion auch immer die Gefahr, dass Angreifer Zugriff darauf bekommen und genau dies ist nun geschehen. Nicht aber die gesamte Management Engine ist betroffen, sondern die Teilfunktionen Active Management Technology (AMT) und Intel Standard Manageability (ISM), die per Netzwerkzugriff adressierbar sind und in diesem Fall das Einfallstor darstellen. Theoretisch ebenfalls betroffen ist Small Business Advantage (SBA), in diesem Fall müsste der Angreifer aber physikalischen Zugriff auf das System haben.

BIOS- und Firmware-Updates sollen Sicherheitslücke schließen

Intel hat bereits damit begonnen, BIOS- bzw. Firmware-Updates zu verteilen. Bei den meisten Systemen kann Intel diese Update aber nicht direkt einspielen bzw. einspielen lassen, da die Systemhersteller die Firmware zunächst noch signieren müssen. Der Nutzer ist also in gewisser Weise davon abhängig, wie die Partner mit diesem Umstand umgehen.

Neben den Prozessoren tragen auch einige Chipsatz die Management Engine. Dies wären die Varianten Q57, Q67, Q77, Q87, Q170 und Q270 sowie Q65, B65, Q75, B75, Q85, B85, Q150, B150, Q250 und B250.

In einer INTEL-SA-00075 Detection Guide getauften Anleitung erklärt Intel, wie Nutzer erkennen können, ob ihre eigenen Systeme betroffen sind. Eine Abschaltung des Local Manageability Service (LMS) unter Windows deaktiviert die ME-Funktionen zunächst einmal. Trägt die FWVersion eine Build-Nummer unter 3000, besteht die Sicherheitslücke noch. Ist die Build-Nummer über 3000 aufgeführt, ist die Firmware bereits sicher.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (32)

#23
Registriert seit: 08.11.2015

Bootsmann
Beiträge: 519
Zitat bawder;25520482
klar ist er das, kannst ja den leitenden linux admin der münchner hochschulen fragen, bei dem ich netzwerktechnik hatte ;)

ich verabschiede mich aus diesem thread. keine ahnung haben und andere leute beleidigen..lol

prüfung versiebt und studium daraufhin abgebrochen?
würde so einiges erklären.
#24
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
SN
Moderator
Beiträge: 32787
Zitat underclocker2k4;25521668
Korrekt fdsonne, AMT ist nur eine Simulation von phys. Rechnerzugriffen. (und der entsprechenden Kanäle)
Funktionell kann ich nicht durch das OS hindurchgreifen. Ich könnte aber ein anderes OS laden und dann auf dem Weg an dem anderen, eigentlichen OS, vorbei Dateizugriffe durchführen.

Normal solltest du das nicht dürfen... Oder kann man über AMT und/oder das Interface als solches das Bios PW überschreiben!? Selbst wenn die übliche Methode im non Business Bereich ala Batterie raus/Jumper umsetzen gehen würde, du müsstest an die Kiste wirklich physisch ran. Und um das Bios über das Interface zu Ändern/das PW zu resetten müsstest du das alte PW wissen soweit mein Stand.

Es führt bspw. soweit mir bekannt bei Fujitsu Geräten kein Weg rein, das PW zu recovern wenn weg... Es soll wohl Möglichkeiten über die Supportpartner geben. Aber kein Plan, was die genau machen... Von Remote geht da aber auch nix. Die Kiste musste dann da hin bringen ;)
Das heist für mich, Bootreihenfolge drehen ist nicht ohne Bios PW und Bios PW recovern ist nicht ohne physischen Access... Wer kein PW setzt, ja dem ist halt auch nicht zu helfen ;)

Zitat underclocker2k4;25521668
Wie hast du dich denn in einer normalen Officeumgebung gegen physischen Zugriff geschützt? Vollverschlüsselung ist bei weitem nicht standard, auch in größeren Firmen.
Verschlüsselt werden Datenträger in der Regel nur dann, wenn ich den physischen Zugriff nicht wirksam unterbinden kann. (also am OS-MGMT vorbei)
Das ist in der Regel bei Laptops und Co. der Fall.

Ich denke das kommt drauf an, wie das Unternehmen sich intern aufgestellt hat, was vereinbart ist (Stichwort ISO27001) usw. usf.
Aus meiner ganz persönlichen Sicht gibt es auch absolut kein Zusammenhang zwischen der Notwendigkeit einer Vollverschlüsslung und dem Zutrittsschutz oder einer Zugangskontrolle physisch zum Gerät. Soll heißen, die Vollverschlüsslung schützt noch vor mehr als wie dem hiesigen Fall. Und ist damit auch nahezu immer sinnig.

Zitat underclocker2k4;25521668
Bei einer solchen Möglichkeit muss man also schon ein klein wenige mehr Hirnschmalz reinstecken, damit da nichts passiert, weil das ganze schon brisanter ist. Hinzukommen, dass der Rechner nichtmal an sein muss, er braucht nur Spannung und schon kann man ihn auch aus der Ferne einschalten.
(klassisch kann ein Angreifer mit ausgeschalteten Systemen nichts machen)

Ich sehe daher nicht wie man sich aktuell vor den von dir genannten Möglichkeiten schützt. (nicht schützen kann)
Habt ihr bei euch, fdsonne, denn alle (Fest)Rechner mit einer Verschlüsselung versehen?

Aber das eine schließt doch das andere nicht aus... Ich persönlich habe eher ein Problem damit, wenn ein riesen Fass für etwas aufgemacht wird, was zwar am Ende potentiell gefährlich ist, wo aber erstmal diese und jene Konstellationen zutreffen müssen und man hier und dort gepennt haben muss als Betreiber, damit überhaupt erstmal die Lücke zum tragen kommen KANN.
Das Thema auf Server bspw. runtergebrochen, sollte eher unkritisch zu sehen sein -> eigentlich jeder normaler "Admin" bei Verstand limitiert die Zugriffe auf derartige Interfaces durch SLAs und/oder Firewalls.
Das Thema auf Clients runtergebrochen -> eigentlich das gleiche in Bund. Es geht um das WIE. Als IP-Subinterface mit einer SLA und der Access ist perse erstmal nicht möglich. In nem eigenen VLAN -> ebenso unterbunden usw.

PS: und nein, wir fahren nicht überall am Desktop eine Vollverschlüsslung. Aber wir nutzen weder das MI noch AMT, ebenso haben wir ausschließlich ne Hand voll Desktops -> gut 95% sind Notebooks und die sind Vollverschlüsselt (und ebenso ohne diesen MGMT Stuff) ;)
Server MGMT wie angesprochen nur aus definierten Netzen erreichbar, hinter Firewalls mit dedizierter Authentication "versteckt". Da kommt keiner ran, es sei denn, er hakt die Switches und/oder Firewalls... Aber wenn jemand DAS kann, dann ist das hiesige Thema wohl mein kleinstes Übel.

Zitat underclocker2k4;25521668
Was ist mit anderen Problemen, wie Rechner arbeitsunfähig machen oder den Rechner als Wirtssystem für weitere Gemeinheiten. (das ist dann ja letztendlich ein vollinstallierbarer "Hacker"Rechner mit allen Möglichkeiten, die man über das AMT sonst so nicht hat) Auch Botnetze leben von solchen "Funktionen". Einfach mal alle AMT-REchner auf dem Planeten nehmen, nen MiniOS drauf und Amazon plattmachen. Viel Spaß, was das an wirtschaftl. Schäden bedeutet...


100% agree. Dennoch steht und fällt die Einschätzung nach Brisanz des Themas mit dem Wissen darüber, WIE man da ran kommt...
Wie oben erwähnt. Unklar ist bspw. kannst du User/PW Abfragen des hinterlegten Accounts umgehen!? Eine klassiche Privilege Escalation bedeutet, ich bin User mit beschränkten Rechten und mache mich zum Obermufti obwohl das nicht gehen sollte. Aber dafür brauch ich doch erstmal Access auf das Interface. Ich vermisse bspw. mindestens mal eine Erklärung, wie man von Remote da über die User/PW Abfrage drüber hinweg kommt... Weder in der scheinbaren Quelle zu dem Thema gibts dazu was, noch bei den ganzen Artikeln, die darauf ihre News raus geschoben haben noch bei Intel selbst steht was dazu.

Möglichkeit A) ich hab Access zum System und geh da über das OS dran
Möglichkeit B) ich hab User/PW zum MGMT Interface und komme IP-technisch da auch drauf
Möglichkeit C) ich kann die Authentifizierungsmechanismen überlisten

Je nachdem, was es ist, bekommt es einen ganz anderen Drall... ;)

Zitat underclocker2k4;25521668
Das Problem ist also deutlich komplexer.
Daher ist es vollkommen egal, was nun genau geht. Es zeigt, dass Intel nicht die Kompetenz hat sichere System zu bauen, obwohl sie die technischen, wirtschaftlichen und personellen Resourcen hätten.
Wie es dann um andere Systeme bestellt ist, kann man sich also vorstellen.


Wenn es danach geht, darfst du gar nix einsetzen. Software hat perse Lücken... Ist so und wird immer so bleiben. Auch vermeindlich als "sicher" angesehene Software kann irgendwann diesen Status verlieren und das obwohl keiner den Code geändert hat, einfach weil irgendwann wer mal einen Weg findet, da doch was auszuhebeln.
Solange man mit einem gewissen Grundverständnis da ran geht, dürfte man auch nicht aus allen Wolken fallen, wenn doch was ist ;)
#25
customavatars/avatar31785_1.gif
Registriert seit: 20.12.2005
Großenhain/Jena
Admiral
Beiträge: 8975
Also ich sehe nicht, dass hier ein riesiges Fass aufgemacht wird. Es wird über eine Sicherheitslücke berichtet, die sich blöderweise in der Hardware des Marktführers für Prozessoren versteckt und dadurch für >90% aller Kunden im geschäftlichen Bereich ein potentielles Risiko bedeutet. Die Berichterstattung ist nüchtern und geht, wie bei fast allen Lücken dieser Brisanz, nicht zu sehr ins Detail. Bedeutet für den Admin: Maßnahmen ergreifen, falls die Technik im eigenen Umfeld tatsächlich doch aktiv ist und für die Zukunft daraus lernen. Denn eigentlich war es ja wirklich absehbar...
#26
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
SN
Moderator
Beiträge: 32787
Zitat Mondrial;25523296
Also ich sehe nicht, dass hier ein riesiges Fass aufgemacht wird.


Dann ließ mal die Kommentare hier und in den diversen anderen Threads der anderen Redaktionen zu diesem Thema...
Nüchtern betrachtet ist das im Moment eine Art Panikmache ohne überhaupt Backgroundinfos zu haben und ohne eine Quelle anzugeben. Denn was soll der Admin bitte für Maßnahmen ergreifen? Er weis doch nichtmal unter welchen Umständen die Lücke überhaupt ausnutzbar ist!!

Nochmal die Frage, wie überbrückt man die User/PW Abfrage, die doch zu 99% da gesetzt wurde um überhaupt erstmal Access auf einen nicht priveligierten Account zu bekommen -> über den man dann eine Rechteausweitung fahren kann!?
Im Moment hat die Meldung (nicht nur hier, sondern quasi überall) den Charm getreu dem Motto, bei effektiv JEDEM Wohnungsbesitzer, Mieter, Pächter oder was auch immer KANN! in die Wohnung eingedrungen werden.
(verschwiegen wird aber irgendwo -> wenn man die Tür auflässt) Ja toll. Logisch und völlig klar... Aber genau das ist doch der Knackpunkt!? Unter welchen Konstellationen kommt die Lücke überhaupt zum tragen!?

PS: und nein, es ist äußerst unüblich so gar keine Infos zu streuen... Nichts. Gar nichts wird hier (meint nicht primär HWLuxx, die News stamt ja von irgendwo her -> einer nicht genannten Quelle) genannt. Nichtmal HighLevel. Das ist untypisch. Die angebliche Quelle da siehe oben verlinkt scheint, soweit ich das bis dato gelesen habe sogar sehr sehr lange von dieser angeblichen Lücke gewusst zu haben. -> da stellt sich dann sogar noch die Frage, warum geraden jetzt public machen und dann schreiben -> wir streuen keine Infos, weil wir Intel Zeit geben!? Das ist irgendwie entgegen jeglicher Logik.


Oder habe ich schlicht und ergreifend nur übersehen, WIE man die Lücke ausnutzen kann?
Was muss getan werden, damit der Spaß greift?
#27
customavatars/avatar31785_1.gif
Registriert seit: 20.12.2005
Großenhain/Jena
Admiral
Beiträge: 8975
Zitat fdsonne;25524481
Dann ließ mal die Kommentare hier und in den diversen anderen Threads der anderen Redaktionen zu diesem Thema...
Nüchtern betrachtet ist das im Moment eine Art Panikmache ohne überhaupt Backgroundinfos zu haben und ohne eine Quelle anzugeben. Denn was soll der Admin bitte für Maßnahmen ergreifen? Er weis doch nichtmal unter welchen Umständen die Lücke überhaupt ausnutzbar ist!!

Wie gesagt, ein "Fass aufmachen" sehe ich hier nicht.

Und selbst wenn du das in anderen Portalen gesehen hast, solltest du da als Moderator nicht drüber stehen? Dämliche Kommentare, egal ob von Panikmachern oder blinden Verteidigern, siehst du bei allen Herstellern, da kann man unzählige Hersteller aus allen Branchen nennen.
#28
Registriert seit: 06.10.2014

Obergefreiter
Beiträge: 82
hat schon jemand seine Rechner auf die AMT-Lücke gecheckt?

IMHO ist die Threadüberschrift etwas irreführend, da hier Begriffe vermischt werden. Die intel ME hat ja fast jedes intel Board, aber den aktiven nutzbaren Fernzugriff via NIC haben lediglich hochpreisige Workstations und PCs. Nur auf diese dürfte das Problem zutreffen, wenn AMT aktiviert ist.
#29
customavatars/avatar15725_1.gif
Registriert seit: 28.11.2004

Banned
Beiträge: 13306
nope
#30
Registriert seit: 20.12.2003
Karlsruhe
Fregattenkapitän
Beiträge: 2718
Der Inteljünger wieder :lol:, ich dachte

Zitat bawder;25520482
...

ich verabschiede mich aus diesem thread. ...


aber wenn du schon Mal wieder hier bist

Zitat bawder;25519722
und wie willst du das anstellen? darum gehts doch...


mit curl und nem leeren Passwort String, näheres wird hier beschrieben

Unsere Dell Poweredges sind übrigens alle betroffen.
#31
Registriert seit: 06.10.2014

Obergefreiter
Beiträge: 82
OMG,

bin mit Tamper auch gleich drin gewesen im DELL Precision.
Da nutzten auch keine safen C Compiler ;-)

Gibts von DELL eigentlich neue Firmware, die das fixt?
Ja:
Dell Client Statement on Intel AMT Advisory (INTEL-SA-00075) - White Papers - TechCenter Extras - Dell Community
#32
customavatars/avatar15725_1.gif
Registriert seit: 28.11.2004

Banned
Beiträge: 13306
schöner artikel, also ein klassischer programmierfehler.

@Sir Diablo
dein niveau ist ziemlich tief und peinlich, aber das habe ich schon bei einigen roten fanboys hier gesehen.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

16 Threads für 550 Euro: AMD RYZEN 7 1800X im Test

Logo von IMAGES/STORIES/LOGOS-2017/AMD_RYZEN_TEASER_100

Eine neue Ära – so beschreibt AMD selbst den Start der RYZEN-Prozessoren. Die dazugehörige Zen-Architektur soll ein Neustart für AMD sein und das auf allen wichtigen Märkten. Den Anfang machen die RYZEN-Prozessoren auf dem Desktop. Die Zen-Architektur soll AMD aber auch zu einem Neustart auf... [mehr]

AMD Ryzen 7 1700 im Test und übertaktet - der interessanteste Ryzen

Logo von IMAGES/STORIES/LOGOS-2017/AMD_RYZEN_TEASER_100

Mit dem Ryzen 7 1800X und Ryzen 7 1700X haben wir uns die beiden neuen Flaggschiff-Prozessoren von AMD näher angeschaut. Nun fehlt nur noch das dritte Modell im Bunde, das für viele Umrüst-Interessenten sicherlich der interessanteste Ryzen-Prozessor ist. Die Rede ist natürlich vom Ryzen 7 1700... [mehr]

AMDs Ryzen 7 1700X im Test: Der beste Ryzen?

Logo von IMAGES/STORIES/LOGOS-2017/AMD_RYZEN_TEASER_100

In unserem ausführlichen Testbericht zu AMDs Ryzen 7 1800X in der letzten Woche hatten wir bereits angekündigt, dass wir weitere Artikel rund um AMDs neues Flaggschiff bringen werden. Den Anfang macht ein Kurztest zum Ryzen 7 1700X, der mit knapp 120 Euro weniger Kaufpreis momentan als das... [mehr]

Intel Core i7-7700K im Test - keine großen Sprünge mit Kaby Lake

Logo von IMAGES/STORIES/LOGOS-2016/KABYLAKE

Am heutigen 3. Januar stellt Intel die Desktop-Modelle der Kaby-Lake-Architektur vor. Wir haben natürlich den Launch-Test: Intels Flaggschiff, der Core i7-7700K, wurde von uns in den letzten Tagen durch diverse Benchmarks gejagt und gegen die Vorgänger verglichen. Allerdings sollte... [mehr]

AMD stellt die ersten RYZEN-Modelle offiziell vor: +52 % IPC ab 359 Euro

Logo von

AMD hat soeben die Modelle der RYZEN-Prozessoren offiziell vorgestellt. Dabei werden die meisten Gerüchte bestätigt, aber auch die letzten Fragen zu den Modellen beantwortet. Mit den RYZEN-Prozessoren bringt AMD die ersten CPUs auf Basis der neuen Zen-Architektur auf den Markt, die AMD wieder in... [mehr]

So schnell ist Kaby Lake: Erste eigene Benchmarks zum i7-7500U

Logo von IMAGES/STORIES/REVIEW_TEASER/INTEL_KABY_LAKE

Offiziell vorgestellt hat Intel die 7. Generation der Core-Prozessoren bereits Ende August, doch erst jetzt ist Kaby Lake in Form des ersten Notebooks verfüg- und damit testbar. Dabei handelt es sich um das Medion Akoya S3409 MD60226, in dem ein Core i7-7500U verbaut wird. Während das Notebook... [mehr]