> > > > Management Engine bei Intel mit offener Sicherheitslücke seit 2010

Management Engine bei Intel mit offener Sicherheitslücke seit 2010

Veröffentlicht am: von

intel

Eine seit 2010 offene Sicherheitslücke in der Management Engine (ME) beschäftigt das Unternehmen Intel bzw. Kunden der entsprechenden Prozessoren derzeit. Die Management Engine ist Bestandteil aller Desktop-, Server- und Notebook-Prozessoren seit der Nehalem-Generation, wobei nicht alle Modelle betroffen sind, denn die Management Engine muss auch aktiviert sein, damit die Sicherheitslücke tatsächlich besteht.

Über die Management Engine ermöglicht Intel die Wartung von Systemen von zentraler Stelle aus, was besonders im Server-Umfeld häufig genutzt wird. Allerdings bietet eine solche Fernwartungsfunktion auch immer die Gefahr, dass Angreifer Zugriff darauf bekommen und genau dies ist nun geschehen. Nicht aber die gesamte Management Engine ist betroffen, sondern die Teilfunktionen Active Management Technology (AMT) und Intel Standard Manageability (ISM), die per Netzwerkzugriff adressierbar sind und in diesem Fall das Einfallstor darstellen. Theoretisch ebenfalls betroffen ist Small Business Advantage (SBA), in diesem Fall müsste der Angreifer aber physikalischen Zugriff auf das System haben.

BIOS- und Firmware-Updates sollen Sicherheitslücke schließen

Intel hat bereits damit begonnen, BIOS- bzw. Firmware-Updates zu verteilen. Bei den meisten Systemen kann Intel diese Update aber nicht direkt einspielen bzw. einspielen lassen, da die Systemhersteller die Firmware zunächst noch signieren müssen. Der Nutzer ist also in gewisser Weise davon abhängig, wie die Partner mit diesem Umstand umgehen.

Neben den Prozessoren tragen auch einige Chipsatz die Management Engine. Dies wären die Varianten Q57, Q67, Q77, Q87, Q170 und Q270 sowie Q65, B65, Q75, B75, Q85, B85, Q150, B150, Q250 und B250.

In einer INTEL-SA-00075 Detection Guide getauften Anleitung erklärt Intel, wie Nutzer erkennen können, ob ihre eigenen Systeme betroffen sind. Eine Abschaltung des Local Manageability Service (LMS) unter Windows deaktiviert die ME-Funktionen zunächst einmal. Trägt die FWVersion eine Build-Nummer unter 3000, besteht die Sicherheitslücke noch. Ist die Build-Nummer über 3000 aufgeführt, ist die Firmware bereits sicher.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (32)

#23
Registriert seit: 08.11.2015
mordor deutschlands.
Oberbootsmann
Beiträge: 919
Zitat bawder;25520482
klar ist er das, kannst ja den leitenden linux admin der münchner hochschulen fragen, bei dem ich netzwerktechnik hatte ;)

ich verabschiede mich aus diesem thread. keine ahnung haben und andere leute beleidigen..lol

prüfung versiebt und studium daraufhin abgebrochen?
würde so einiges erklären.
#24
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
SN
Moderator
Beiträge: 34063
Zitat underclocker2k4;25521668
Korrekt fdsonne, AMT ist nur eine Simulation von phys. Rechnerzugriffen. (und der entsprechenden Kanäle)
Funktionell kann ich nicht durch das OS hindurchgreifen. Ich könnte aber ein anderes OS laden und dann auf dem Weg an dem anderen, eigentlichen OS, vorbei Dateizugriffe durchführen.

Normal solltest du das nicht dürfen... Oder kann man über AMT und/oder das Interface als solches das Bios PW überschreiben!? Selbst wenn die übliche Methode im non Business Bereich ala Batterie raus/Jumper umsetzen gehen würde, du müsstest an die Kiste wirklich physisch ran. Und um das Bios über das Interface zu Ändern/das PW zu resetten müsstest du das alte PW wissen soweit mein Stand.

Es führt bspw. soweit mir bekannt bei Fujitsu Geräten kein Weg rein, das PW zu recovern wenn weg... Es soll wohl Möglichkeiten über die Supportpartner geben. Aber kein Plan, was die genau machen... Von Remote geht da aber auch nix. Die Kiste musste dann da hin bringen ;)
Das heist für mich, Bootreihenfolge drehen ist nicht ohne Bios PW und Bios PW recovern ist nicht ohne physischen Access... Wer kein PW setzt, ja dem ist halt auch nicht zu helfen ;)

Zitat underclocker2k4;25521668
Wie hast du dich denn in einer normalen Officeumgebung gegen physischen Zugriff geschützt? Vollverschlüsselung ist bei weitem nicht standard, auch in größeren Firmen.
Verschlüsselt werden Datenträger in der Regel nur dann, wenn ich den physischen Zugriff nicht wirksam unterbinden kann. (also am OS-MGMT vorbei)
Das ist in der Regel bei Laptops und Co. der Fall.

Ich denke das kommt drauf an, wie das Unternehmen sich intern aufgestellt hat, was vereinbart ist (Stichwort ISO27001) usw. usf.
Aus meiner ganz persönlichen Sicht gibt es auch absolut kein Zusammenhang zwischen der Notwendigkeit einer Vollverschlüsslung und dem Zutrittsschutz oder einer Zugangskontrolle physisch zum Gerät. Soll heißen, die Vollverschlüsslung schützt noch vor mehr als wie dem hiesigen Fall. Und ist damit auch nahezu immer sinnig.

Zitat underclocker2k4;25521668
Bei einer solchen Möglichkeit muss man also schon ein klein wenige mehr Hirnschmalz reinstecken, damit da nichts passiert, weil das ganze schon brisanter ist. Hinzukommen, dass der Rechner nichtmal an sein muss, er braucht nur Spannung und schon kann man ihn auch aus der Ferne einschalten.
(klassisch kann ein Angreifer mit ausgeschalteten Systemen nichts machen)

Ich sehe daher nicht wie man sich aktuell vor den von dir genannten Möglichkeiten schützt. (nicht schützen kann)
Habt ihr bei euch, fdsonne, denn alle (Fest)Rechner mit einer Verschlüsselung versehen?

Aber das eine schließt doch das andere nicht aus... Ich persönlich habe eher ein Problem damit, wenn ein riesen Fass für etwas aufgemacht wird, was zwar am Ende potentiell gefährlich ist, wo aber erstmal diese und jene Konstellationen zutreffen müssen und man hier und dort gepennt haben muss als Betreiber, damit überhaupt erstmal die Lücke zum tragen kommen KANN.
Das Thema auf Server bspw. runtergebrochen, sollte eher unkritisch zu sehen sein -> eigentlich jeder normaler "Admin" bei Verstand limitiert die Zugriffe auf derartige Interfaces durch SLAs und/oder Firewalls.
Das Thema auf Clients runtergebrochen -> eigentlich das gleiche in Bund. Es geht um das WIE. Als IP-Subinterface mit einer SLA und der Access ist perse erstmal nicht möglich. In nem eigenen VLAN -> ebenso unterbunden usw.

PS: und nein, wir fahren nicht überall am Desktop eine Vollverschlüsslung. Aber wir nutzen weder das MI noch AMT, ebenso haben wir ausschließlich ne Hand voll Desktops -> gut 95% sind Notebooks und die sind Vollverschlüsselt (und ebenso ohne diesen MGMT Stuff) ;)
Server MGMT wie angesprochen nur aus definierten Netzen erreichbar, hinter Firewalls mit dedizierter Authentication "versteckt". Da kommt keiner ran, es sei denn, er hakt die Switches und/oder Firewalls... Aber wenn jemand DAS kann, dann ist das hiesige Thema wohl mein kleinstes Übel.

Zitat underclocker2k4;25521668
Was ist mit anderen Problemen, wie Rechner arbeitsunfähig machen oder den Rechner als Wirtssystem für weitere Gemeinheiten. (das ist dann ja letztendlich ein vollinstallierbarer "Hacker"Rechner mit allen Möglichkeiten, die man über das AMT sonst so nicht hat) Auch Botnetze leben von solchen "Funktionen". Einfach mal alle AMT-REchner auf dem Planeten nehmen, nen MiniOS drauf und Amazon plattmachen. Viel Spaß, was das an wirtschaftl. Schäden bedeutet...


100% agree. Dennoch steht und fällt die Einschätzung nach Brisanz des Themas mit dem Wissen darüber, WIE man da ran kommt...
Wie oben erwähnt. Unklar ist bspw. kannst du User/PW Abfragen des hinterlegten Accounts umgehen!? Eine klassiche Privilege Escalation bedeutet, ich bin User mit beschränkten Rechten und mache mich zum Obermufti obwohl das nicht gehen sollte. Aber dafür brauch ich doch erstmal Access auf das Interface. Ich vermisse bspw. mindestens mal eine Erklärung, wie man von Remote da über die User/PW Abfrage drüber hinweg kommt... Weder in der scheinbaren Quelle zu dem Thema gibts dazu was, noch bei den ganzen Artikeln, die darauf ihre News raus geschoben haben noch bei Intel selbst steht was dazu.

Möglichkeit A) ich hab Access zum System und geh da über das OS dran
Möglichkeit B) ich hab User/PW zum MGMT Interface und komme IP-technisch da auch drauf
Möglichkeit C) ich kann die Authentifizierungsmechanismen überlisten

Je nachdem, was es ist, bekommt es einen ganz anderen Drall... ;)

Zitat underclocker2k4;25521668
Das Problem ist also deutlich komplexer.
Daher ist es vollkommen egal, was nun genau geht. Es zeigt, dass Intel nicht die Kompetenz hat sichere System zu bauen, obwohl sie die technischen, wirtschaftlichen und personellen Resourcen hätten.
Wie es dann um andere Systeme bestellt ist, kann man sich also vorstellen.


Wenn es danach geht, darfst du gar nix einsetzen. Software hat perse Lücken... Ist so und wird immer so bleiben. Auch vermeindlich als "sicher" angesehene Software kann irgendwann diesen Status verlieren und das obwohl keiner den Code geändert hat, einfach weil irgendwann wer mal einen Weg findet, da doch was auszuhebeln.
Solange man mit einem gewissen Grundverständnis da ran geht, dürfte man auch nicht aus allen Wolken fallen, wenn doch was ist ;)
#25
customavatars/avatar31785_1.gif
Registriert seit: 20.12.2005
Großenhain/Jena
Admiral
Beiträge: 8989
Also ich sehe nicht, dass hier ein riesiges Fass aufgemacht wird. Es wird über eine Sicherheitslücke berichtet, die sich blöderweise in der Hardware des Marktführers für Prozessoren versteckt und dadurch für >90% aller Kunden im geschäftlichen Bereich ein potentielles Risiko bedeutet. Die Berichterstattung ist nüchtern und geht, wie bei fast allen Lücken dieser Brisanz, nicht zu sehr ins Detail. Bedeutet für den Admin: Maßnahmen ergreifen, falls die Technik im eigenen Umfeld tatsächlich doch aktiv ist und für die Zukunft daraus lernen. Denn eigentlich war es ja wirklich absehbar...
#26
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
SN
Moderator
Beiträge: 34063
Zitat Mondrial;25523296
Also ich sehe nicht, dass hier ein riesiges Fass aufgemacht wird.


Dann ließ mal die Kommentare hier und in den diversen anderen Threads der anderen Redaktionen zu diesem Thema...
Nüchtern betrachtet ist das im Moment eine Art Panikmache ohne überhaupt Backgroundinfos zu haben und ohne eine Quelle anzugeben. Denn was soll der Admin bitte für Maßnahmen ergreifen? Er weis doch nichtmal unter welchen Umständen die Lücke überhaupt ausnutzbar ist!!

Nochmal die Frage, wie überbrückt man die User/PW Abfrage, die doch zu 99% da gesetzt wurde um überhaupt erstmal Access auf einen nicht priveligierten Account zu bekommen -> über den man dann eine Rechteausweitung fahren kann!?
Im Moment hat die Meldung (nicht nur hier, sondern quasi überall) den Charm getreu dem Motto, bei effektiv JEDEM Wohnungsbesitzer, Mieter, Pächter oder was auch immer KANN! in die Wohnung eingedrungen werden.
(verschwiegen wird aber irgendwo -> wenn man die Tür auflässt) Ja toll. Logisch und völlig klar... Aber genau das ist doch der Knackpunkt!? Unter welchen Konstellationen kommt die Lücke überhaupt zum tragen!?

PS: und nein, es ist äußerst unüblich so gar keine Infos zu streuen... Nichts. Gar nichts wird hier (meint nicht primär HWLuxx, die News stamt ja von irgendwo her -> einer nicht genannten Quelle) genannt. Nichtmal HighLevel. Das ist untypisch. Die angebliche Quelle da siehe oben verlinkt scheint, soweit ich das bis dato gelesen habe sogar sehr sehr lange von dieser angeblichen Lücke gewusst zu haben. -> da stellt sich dann sogar noch die Frage, warum geraden jetzt public machen und dann schreiben -> wir streuen keine Infos, weil wir Intel Zeit geben!? Das ist irgendwie entgegen jeglicher Logik.


Oder habe ich schlicht und ergreifend nur übersehen, WIE man die Lücke ausnutzen kann?
Was muss getan werden, damit der Spaß greift?
#27
customavatars/avatar31785_1.gif
Registriert seit: 20.12.2005
Großenhain/Jena
Admiral
Beiträge: 8989
Zitat fdsonne;25524481
Dann ließ mal die Kommentare hier und in den diversen anderen Threads der anderen Redaktionen zu diesem Thema...
Nüchtern betrachtet ist das im Moment eine Art Panikmache ohne überhaupt Backgroundinfos zu haben und ohne eine Quelle anzugeben. Denn was soll der Admin bitte für Maßnahmen ergreifen? Er weis doch nichtmal unter welchen Umständen die Lücke überhaupt ausnutzbar ist!!

Wie gesagt, ein "Fass aufmachen" sehe ich hier nicht.

Und selbst wenn du das in anderen Portalen gesehen hast, solltest du da als Moderator nicht drüber stehen? Dämliche Kommentare, egal ob von Panikmachern oder blinden Verteidigern, siehst du bei allen Herstellern, da kann man unzählige Hersteller aus allen Branchen nennen.
#28
Registriert seit: 06.10.2014

Hauptgefreiter
Beiträge: 134
hat schon jemand seine Rechner auf die AMT-Lücke gecheckt?

IMHO ist die Threadüberschrift etwas irreführend, da hier Begriffe vermischt werden. Die intel ME hat ja fast jedes intel Board, aber den aktiven nutzbaren Fernzugriff via NIC haben lediglich hochpreisige Workstations und PCs. Nur auf diese dürfte das Problem zutreffen, wenn AMT aktiviert ist.
#29
customavatars/avatar15725_1.gif
Registriert seit: 28.11.2004

Admiral
Beiträge: 13851
nope
#30
Registriert seit: 20.12.2003
Karlsruhe
Kapitän zur See
Beiträge: 3229
Der Inteljünger wieder :lol:, ich dachte

Zitat bawder;25520482
...

ich verabschiede mich aus diesem thread. ...


aber wenn du schon Mal wieder hier bist

Zitat bawder;25519722
und wie willst du das anstellen? darum gehts doch...


mit curl und nem leeren Passwort String, näheres wird hier beschrieben

Unsere Dell Poweredges sind übrigens alle betroffen.
#31
Registriert seit: 06.10.2014

Hauptgefreiter
Beiträge: 134
OMG,

bin mit Tamper auch gleich drin gewesen im DELL Precision.
Da nutzten auch keine safen C Compiler ;-)

Gibts von DELL eigentlich neue Firmware, die das fixt?
Ja:
Dell Client Statement on Intel AMT Advisory (INTEL-SA-00075) - White Papers - TechCenter Extras - Dell Community
#32
customavatars/avatar15725_1.gif
Registriert seit: 28.11.2004

Admiral
Beiträge: 13851
schöner artikel, also ein klassischer programmierfehler.

@Sir Diablo
dein niveau ist ziemlich tief und peinlich, aber das habe ich schon bei einigen roten fanboys hier gesehen.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Coffee Lake: Overclocking-Check

Logo von IMAGES/STORIES/LOGOS-2016/KABYLAKE

Nach dem ausführlichen Overclocking-Check für Skylake-Prozessoren sowie dem Overclocking-Check für Kaby Lake-Prozessoren ist es nach Veröffentlichung der neuen Generation mit Codenamen Coffee-Lake erneut Zeit für einen Overclocking-Check. Wir werfen einen Blick auf die Übertaktbarkeit... [mehr]

Intel kämpft mit schwerer Sicherheitslücke (Update: Intel veröffentlicht...

Logo von IMAGES/STORIES/2017/INTEL

Vor, während und zwischen den Feiertagen herrschte ein wildes Treiben in der Linux-Community. Zunächst war nicht ganz klar, was hier genau vor sich geht, inzwischen aber scheinen die Auswirkungen deutlich zu werden: Intel hat nach einer Lücke in der Management Unit eines jeden... [mehr]

Gelungener Feinschliff: AMD Ryzen 7 2700X und Ryzen 5 2600X im Test

Logo von IMAGES/STORIES/2017/AMD_RYZEN_7_2700X

Rund ein Jahr nach dem Start der Ryzen-Prozessoren legt AMD nach und bringt die zweite Generation in den Handel. Die soll schneller und effizienter arbeiten und den Druck auf Intel weiter erhöhen. Allerdings lautet die Devise Evolution statt Revolution, statt gravierender Änderungen gibt es vor... [mehr]

AMD Ryzen 5 2400G und Ryzen 3 2200G im Test: Die Lücke ist gestopft

Logo von IMAGES/STORIES/2017/AMD_RYZEN_5_2400G

Während Notebook-Käufer sich bereits seit einigen Wochen von den Vorzügen der Zen-basierten Raven-Ridge-APUs überzeugen können, musste sich das Desktop-Lager noch gedulden. Nun aber heißt es auch hier: Intel erhält neue Konkurrenz. Und die könnte einen noch größeren Einfluss als die... [mehr]

AMD Ryzen Threadripper 2990WX und 2950X im Test: Mit Vollgas an Intel vorbei

Logo von IMAGES/STORIES/2017/AMD_THREADRIPPER_2950X

Pünktlich zum ersten Geburtstag startet AMD den Ryzen-Threadripper-Generationswechsel. Und wie schon im Frühjahr beim Sprung von Ryzen 1 zu Ryzen 2 vertraut man auf zwei Dinge: mehr Kerne und einen geringeren Preis. Beide sollen dabei helfen, dem Dauerrivalen Intel im... [mehr]

AMD Ryzen 5 2400G und Ryzen 3 2200G: Raven Ridge kann auch spielen

Logo von IMAGES/STORIES/2017/AMD_RYZEN_TEASER_100

Eine gute Alternative, wenn es um einen Alltags- oder Office-Rechner geht: So lautete vor wenigen Tagen das Fazit zu AMDs neuen APUs. Doch wie sich Ryzen 3 2200G und Ryzen 5 2400G schlagen, wenn die Zeit zwischen Word und Chrome mit dem ein oder anderen Spiel überbrückt werden soll, konnte... [mehr]