Intel Management Engine

Bild: Bill Bradford Licence: CC-by-2.0

Intel hat jetzt eine offizielle Warnung vor einer Lücke in der Intel Management Engine (IME) herausgegeben. Bereits im Mai musste der Konzern eine kritische Lücke in der umstrittenen Komponente eingestehen. Die neuerliche Lücke, auf die externe Sicherheitsforscher Intel hingewiesen hatten, hat Intel nun nach einer internen tiefgreifenden Sicherheitsüberprüfung der Intel Management Engine (ME), Intel Server Platform Services (SPS) und der Intel Trusted Execution Engine (TXE) bestätigt. Zur Schwere der Lücke sagt Intel:

»Auf Grundlage der durch die umfassende Sicherheitsüberprüfung identifizierten Elemente könnte ein Angreifer unbefugten Zugriff auf Intel ME-Funktionen und die Geheimnisse Dritter erlangen, die durch die Intel Management Engine (ME), den Intel Server Platform Service (SPS) oder die Intel Trusted Execution Engine (TXE) geschützt sind. Dazu gehören Szenarien, in denen ein erfolgreicher Angreifer folgendes tun könnte: Imitieren der ME/SPS/TXE, wodurch die Gültigkeit der lokalen Sicherheitsmerkmale beeinträchtigt würden; Laden und Ausführen von beliebigem Code außerhalb des Wahrnehmungsbereichs des Benutzers und des Betriebssystems; Verursachen eines Systemabsturzes oder einer Systeminstabilität.«

Fast alle Plattformen betroffen

Dabei sind fast alle Plattformen, die Intel in den letzten Jahren veröffentlicht hat, betroffen. Jeder Rechner mit Intel-Core-Prozessoren der Generatikonen 6, 7 und 8 ist betroffen. Die Liste umfasst Intel Core, Intel Xeon E3-1200 v5 und v6, Xeon Processor Scalable, Xeon Processor W, Atom C3000, Apollo Lake-basierte Atom oder Pentium, sowie Celeron N oder J.

Schutz der Anwender dauert noch

Intel hat zwar die Lücken mittlerweile geschlossen, trotzdem wird es noch einige Zeit dauern, bis die Anwender dadurch geschützt werden. Der Microcode, der die Lücken stopft wird über Firmware-Updates ausgeliefert, die von den Mainboard-Herstellern integriert und verteilt werden. Ältere Systeme werden von solchen Fixes oft gar nicht mehr erreicht.

Verstecktes Betriebssystem

Angesichts der erneuten Lücke sieht sich Intel wieder mit Forderungen konfrontiert, IME für den Anwender abschaltbar zu gestalten oder einen externen Sicherheits-Audit zu erlauben. Die Management Engine (IME), die beim Booten, zur Laufzeit und im Schlafmodus aktiv ist, wird über die permanente 5-V-Versorgung aus dem Netzteil gespeist. Die Firmware ist eine von Intel kryptografisch signierte Binärdatei. Die IME ist nicht durchgehend dokumentiert. Somit führt die CPU im Rahmen der ME unbekannten und nicht nachprüfbaren Code aus, auf die der Käufer von Intels CPUs keinerlei Einfluss hat.

 

Beitrag kommentieren

Alle Kommentare
  • Olaf Uecker

    Olaf Uecker

    21.11.2017, 14:52 Uhr

    Schon wieder!

  • tuxnix

    21.11.2017, 15:22 Uhr

    Zitat: „…Laden und Ausführen von beliebigem Code außerhalb des Wahrnehmungsbereichs des Benutzers und des Betriebssystems;…“ This is not a bug, it is a feature.

  • Fryboyter

    21.11.2017, 19:27 Uhr

    Das im oben genannte Link verlinkte Testtool ist wohl etwas mit der heißen Nadel gestrickt worden. Wer, wie ich, Python 3 als Standard verwendet wird beim Ausführen von intel_sa00086.py wohl nicht weit kommen. Hier einfach den Shebang von #!/usr/bin/env python auf #!/usr/bin/env python2 ändern. Grund für das Problem ist, dass seit Python 3 print eine Funktion ist und der Ersteller allerdings mit Python 2 gearbeitet hat und print hier keine Funktion ist.

    Zumindest mein X230 ist laut dem Tool schon mal nicht anfällig.

    Wer nun denkt, mit AMD ist man besser bedient, sollte bedenken, dass CPU von AMD mit einer vergleichbaren Blackbox (AMD Platform Security Processor) ausgerüstet sind.