Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-Ausführung

creative2k

Phase 2.5

Registered: Jul 2002
Location: Vienna
Posts: 8378

23.09.2017 - 07:18

Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-Ausführung

Im Programm der Black Hat 2017 verbirgt sich Sprengstoff, denn eine Lücke in Intels Chipsätzen soll die Ausführung beliebigen Codes ermöglichen. Schuld ist die Intel Management Engine, die seit rund zehn Jahren in jedem Intel-Chipsatz steckt und Zugriff auf fast alle Komponenten und Daten des PCs hat, ohne überwacht zu werden.

Komplettzugriff ohne Wissen des Nutzers

„How to hack a turned-off computer, or running unsigned code in Intel Management Engine“ lautet der Eintrag im Programm der IT-Sicherheitskonferenz Black Hat Europe 2017, die vom 4. bis 7. Dezember 2017 in London stattfinden wird. Mark Ermolov und Maxim Goryachy von der russischen Sicherheitsfirma Positive Technologies (PTE) möchten im Vortrag zeigen, wie es ihnen gelungen ist, Intels Management Engine (ME) zu hacken, da diese in einem Subsystem eine weitreichende Sicherheitslücke aufweise. So soll es möglich sein, eigenen unsignierten Code auszuführen, wovon der Nutzer nichts mitbekomme und was auch von keinem Virenscanner festgestellt werden könne. Selbst ein BIOS-Update oder eine Neuinstallation des Betriebssystems wären gegen diesen Angriff nutzlos.

Link: www.computerbase.de

Bearbeitet von creative2k am 23.09.2017, 07:23

lalaker

TBS forever

Registered: Apr 2003
Location: Bgld
Posts: 14699

23.09.2017 - 10:31

Wenn das zutrifft hat es das Zeug zum Supergau (medial).

Dreamforcer

New world Order

Registered: Nov 2002
Location: Tirol
Posts: 9021

23.09.2017 - 13:07

wirklicih erschlossen hat sich mir der sinn der me eh noch nicht, daher wundert mich solche sachen nicht wirklich, war ja nicht die erste lücke dort

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49958

02.10.2017 - 12:42

In der ME wurde das schon lange vermutet und es geisterte vor Jahren schon diverse Hacks dafür herum.
Das das Ding jetzt aber so offen verwundert doch etwas.

Im Grunde ist das aber nicht unbedingt eine Sicherheitslücke sondern teil vom Design

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16837

02.10.2017 - 12:57

soweit ich informiert bin, lässt es sich nur über die onboard Intel NIC ausnutzen.

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19689

02.10.2017 - 13:09

Ist das jetzt was Neues oder geht es da um die uralt-News von hier: https://www.overclockers.at/mainboa...sweitung_248746
?

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49958

02.10.2017 - 13:28

Andere, wesentlich weitreichendere Lücke.
Aber selbes Problem

xaxoxix

Dagegen da eigene Meinung

Registered: Mar 2003
Location: Hinterbrühl - N..
Posts: 614

06.10.2017 - 19:21

wir setzen amt seit jahren ein allerdings nur innerhalb der internen netzwerke und fahren eigentlich sehr gut damit, dass ich unabhängig von treibern und betriebssystem aufs kastel zugreifen kann hat schon gewaltigen charme, netzwerkkartentreiber im betirebssystem nicht vorhanden - scheissegal greif dennoch per fernwartung zu, spiel das dings ein, fertig, rechner raus aus domain, wieder rein, alles wurscht, windows firewall blockiert was eigentlich für betirebssytem wartung notwenidg is, linux rumwurschteln, mac, alles wurscht und ob das kistel eingeschaltet is oder nicht is ma auch wumpe

zugriffe von aussen gibts sowieso keine nutzbaren zu den clients

Bearbeitet von xaxoxix am 06.10.2017, 19:31

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16837

06.10.2017 - 20:49

Reicht ja wenn ein Client ein Spam mail öffnet und dein l2 Segment ist sowas von kompromittiert binnen Sekunden.
Boarder Firewall hilft da gerade bei Clients nur ganz wenig.

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2306

06.10.2017 - 21:06

Frage mich ob https://github.com/corna/me_cleaner da noch Abhilfe schafft, von der vorigen Lücke war ich nicht mehr betroffen da ich einfach die ME firmware selbst upgedated habe.

Warum gibt es noch immer keine Geräte die mit Libreboot ausgeliefert werden.. :mad:

xaxoxix

Dagegen da eigene Meinung

Registered: Mar 2003
Location: Hinterbrühl - N..
Posts: 614

06.10.2017 - 21:55

Zitat aus einem Post von Smut
Reicht ja wenn ein Client ein Spam mail öffnet und dein l2 Segment ist sowas von kompromittiert binnen Sekunden.
Boarder Firewall hilft da gerade bei Clients nur ganz wenig.

schliesse ich aus, da bei uns nur eine whitelist von ausführbaren dateien gestartet werden kann (softwarepolicies), macros, anderer schass sowieso nicht erlaubt ist und sämtlicher webtransfer über proxy geleitet wird (ebenso whitelistbasierend)

Bearbeitet von xaxoxix am 06.10.2017, 21:57

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16837

06.10.2017 - 21:59

Greift in der Regel bei einem exploit nicht sondern schützt vor dem User.
Was verwendet ihr? Applocker?

xaxoxix

Dagegen da eigene Meinung

Registered: Mar 2003
Location: Hinterbrühl - N..
Posts: 614

06.10.2017 - 23:20

nein softwarerestrictions policies aus dem ad (und ja ist ähnlich der clientbasierten lösung des applockers) btw und ja greift natürlich auch im falle von exploits solange diese nicht die softwarerestrictiontechnologie von ms selbst betreffen und sollte es programme der whitelist treffen - was zwar möglich wäre ( ich aber aufgrund unserer sehr strickten auswahl und permanenten audits , updates, testweisen attacks selber versuchen zu überprüfen eher ausschliese) greifen noch weitere schutzmechanismen und damit meine ich nicht clientvirenscanner etc die generell mehr schaden anrichten als nutzen haben, aber das sehen viele halt anders

den aufwand dahinter möchte ich aber auch keinem zumuten, der es aufgrund der sensibilität der daten nicht machen muss, hängt schon ziemlich ein rattenschwanz hinten drann, grundsätzlich sind sehr sichere systeme möglich

Bearbeitet von xaxoxix am 06.10.2017, 23:39

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19689

07.10.2017 - 11:42

Zitat aus einem Post von xaxoxix
schliesse ich aus, da bei uns nur eine whitelist von ausführbaren dateien gestartet werden kann (softwarepolicies), macros, anderer schass sowieso nicht erlaubt ist und sämtlicher webtransfer über proxy geleitet wird (ebenso whitelistbasierend)

Ist halt keine normale Umgebung imho (könnte als Support nicht mit so einer Umgebung leben), hört sich außerdem ziemlich nach AIDS an. (imho)

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16837

07.10.2017 - 12:15

Zitat aus einem Post von xaxoxix
nein softwarerestrictions policies aus dem ad (und ja ist ähnlich der clientbasierten lösung des applockers) btw und ja greift natürlich auch im falle von exploits solange diese nicht die softwarerestrictiontechnologie von ms selbst betreffen und sollte es programme der whitelist treffen - was zwar möglich wäre ( ich aber aufgrund unserer sehr strickten auswahl und permanenten audits , updates, testweisen attacks selber versuchen zu überprüfen eher ausschliese) greifen noch weitere schutzmechanismen und damit meine ich nicht clientvirenscanner etc die generell mehr schaden anrichten als nutzen haben, aber das sehen viele halt anders

den aufwand dahinter möchte ich aber auch keinem zumuten, der es aufgrund der sensibilität der daten nicht machen muss, hängt schon ziemlich ein rattenschwanz hinten drann, grundsätzlich sind sehr sichere systeme möglich

Hängt wie gesagt vom exploit ab. Der 0815 exploit nutzt die Schwachstelle ja nur um eigene binaries nachzuladen, diese würden dann geblockt werden.
Ein guter exploit würde eher im Rahmen der Berechtigungen der Applikation weiterarbeiten. Wenn Das OS angegrifren wird ist es sowieso vorbei. das kannst nur durch sideeffects erkennen.
Aber gut, das geht etwas vom Thema vorbei. Wenn ihr diesen hohen schutzbedarf habt, dann sind diese Intel vulnerabilities (wenn nicht sogar Design Fehler), auf jeden Fall etwas das ihr beheben müsst.

creative2k Phase 2.5 Registered: Jul 2002 Location: Vienna Posts: 8378	23.09.2017 - 07:18 Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-Ausführung Im Programm der Black Hat 2017 verbirgt sich Sprengstoff, denn eine Lücke in Intels Chipsätzen soll die Ausführung beliebigen Codes ermöglichen. Schuld ist die Intel Management Engine, die seit rund zehn Jahren in jedem Intel-Chipsatz steckt und Zugriff auf fast alle Komponenten und Daten des PCs hat, ohne überwacht zu werden. Komplettzugriff ohne Wissen des Nutzers „How to hack a turned-off computer, or running unsigned code in Intel Management Engine“ lautet der Eintrag im Programm der IT-Sicherheitskonferenz Black Hat Europe 2017, die vom 4. bis 7. Dezember 2017 in London stattfinden wird. Mark Ermolov und Maxim Goryachy von der russischen Sicherheitsfirma Positive Technologies (PTE) möchten im Vortrag zeigen, wie es ihnen gelungen ist, Intels Management Engine (ME) zu hacken, da diese in einem Subsystem eine weitreichende Sicherheitslücke aufweise. So soll es möglich sein, eigenen unsignierten Code auszuführen, wovon der Nutzer nichts mitbekomme und was auch von keinem Virenscanner festgestellt werden könne. Selbst ein BIOS-Update oder eine Neuinstallation des Betriebssystems wären gegen diesen Angriff nutzlos. Link: www.computerbase.de Bearbeitet von creative2k am 23.09.2017, 07:23
lalaker TBS forever Registered: Apr 2003 Location: Bgld Posts: 14699	23.09.2017 - 10:31 Wenn das zutrifft hat es das Zeug zum Supergau (medial).
Dreamforcer New world Order Registered: Nov 2002 Location: Tirol Posts: 9021	23.09.2017 - 13:07 wirklicih erschlossen hat sich mir der sinn der me eh noch nicht, daher wundert mich solche sachen nicht wirklich, war ja nicht die erste lücke dort
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49958	02.10.2017 - 12:42 In der ME wurde das schon lange vermutet und es geisterte vor Jahren schon diverse Hacks dafür herum. Das das Ding jetzt aber so offen verwundert doch etwas. Im Grunde ist das aber nicht unbedingt eine Sicherheitslücke sondern teil vom Design
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16837	02.10.2017 - 12:57 soweit ich informiert bin, lässt es sich nur über die onboard Intel NIC ausnutzen.
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19689	02.10.2017 - 13:09 Ist das jetzt was Neues oder geht es da um die uralt-News von hier: https://www.overclockers.at/mainboa...sweitung_248746 ?
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49958	02.10.2017 - 13:28 Andere, wesentlich weitreichendere Lücke. Aber selbes Problem
xaxoxix Dagegen da eigene Meinung Registered: Mar 2003 Location: Hinterbrühl - N.. Posts: 614	06.10.2017 - 19:21 wir setzen amt seit jahren ein allerdings nur innerhalb der internen netzwerke und fahren eigentlich sehr gut damit, dass ich unabhängig von treibern und betriebssystem aufs kastel zugreifen kann hat schon gewaltigen charme, netzwerkkartentreiber im betirebssystem nicht vorhanden - scheissegal greif dennoch per fernwartung zu, spiel das dings ein, fertig, rechner raus aus domain, wieder rein, alles wurscht, windows firewall blockiert was eigentlich für betirebssytem wartung notwenidg is, linux rumwurschteln, mac, alles wurscht und ob das kistel eingeschaltet is oder nicht is ma auch wumpe zugriffe von aussen gibts sowieso keine nutzbaren zu den clients Bearbeitet von xaxoxix am 06.10.2017, 19:31
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16837	06.10.2017 - 20:49 Reicht ja wenn ein Client ein Spam mail öffnet und dein l2 Segment ist sowas von kompromittiert binnen Sekunden. Boarder Firewall hilft da gerade bei Clients nur ganz wenig.
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2306	06.10.2017 - 21:06 Frage mich ob https://github.com/corna/me_cleaner da noch Abhilfe schafft, von der vorigen Lücke war ich nicht mehr betroffen da ich einfach die ME firmware selbst upgedated habe. Warum gibt es noch immer keine Geräte die mit Libreboot ausgeliefert werden..
xaxoxix Dagegen da eigene Meinung Registered: Mar 2003 Location: Hinterbrühl - N.. Posts: 614	06.10.2017 - 21:55 Zitat aus einem Post von Smut Reicht ja wenn ein Client ein Spam mail öffnet und dein l2 Segment ist sowas von kompromittiert binnen Sekunden. Boarder Firewall hilft da gerade bei Clients nur ganz wenig. schliesse ich aus, da bei uns nur eine whitelist von ausführbaren dateien gestartet werden kann (softwarepolicies), macros, anderer schass sowieso nicht erlaubt ist und sämtlicher webtransfer über proxy geleitet wird (ebenso whitelistbasierend) Bearbeitet von xaxoxix am 06.10.2017, 21:57
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16837	06.10.2017 - 21:59 Greift in der Regel bei einem exploit nicht sondern schützt vor dem User. Was verwendet ihr? Applocker?
xaxoxix Dagegen da eigene Meinung Registered: Mar 2003 Location: Hinterbrühl - N.. Posts: 614	06.10.2017 - 23:20 nein softwarerestrictions policies aus dem ad (und ja ist ähnlich der clientbasierten lösung des applockers) btw und ja greift natürlich auch im falle von exploits solange diese nicht die softwarerestrictiontechnologie von ms selbst betreffen und sollte es programme der whitelist treffen - was zwar möglich wäre ( ich aber aufgrund unserer sehr strickten auswahl und permanenten audits , updates, testweisen attacks selber versuchen zu überprüfen eher ausschliese) greifen noch weitere schutzmechanismen und damit meine ich nicht clientvirenscanner etc die generell mehr schaden anrichten als nutzen haben, aber das sehen viele halt anders den aufwand dahinter möchte ich aber auch keinem zumuten, der es aufgrund der sensibilität der daten nicht machen muss, hängt schon ziemlich ein rattenschwanz hinten drann, grundsätzlich sind sehr sichere systeme möglich Bearbeitet von xaxoxix am 06.10.2017, 23:39
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19689	07.10.2017 - 11:42 Zitat aus einem Post von xaxoxix schliesse ich aus, da bei uns nur eine whitelist von ausführbaren dateien gestartet werden kann (softwarepolicies), macros, anderer schass sowieso nicht erlaubt ist und sämtlicher webtransfer über proxy geleitet wird (ebenso whitelistbasierend) Ist halt keine normale Umgebung imho (könnte als Support nicht mit so einer Umgebung leben), hört sich außerdem ziemlich nach AIDS an. (imho)
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16837	07.10.2017 - 12:15 Zitat aus einem Post von xaxoxix nein softwarerestrictions policies aus dem ad (und ja ist ähnlich der clientbasierten lösung des applockers) btw und ja greift natürlich auch im falle von exploits solange diese nicht die softwarerestrictiontechnologie von ms selbst betreffen und sollte es programme der whitelist treffen - was zwar möglich wäre ( ich aber aufgrund unserer sehr strickten auswahl und permanenten audits , updates, testweisen attacks selber versuchen zu überprüfen eher ausschliese) greifen noch weitere schutzmechanismen und damit meine ich nicht clientvirenscanner etc die generell mehr schaden anrichten als nutzen haben, aber das sehen viele halt anders den aufwand dahinter möchte ich aber auch keinem zumuten, der es aufgrund der sensibilität der daten nicht machen muss, hängt schon ziemlich ein rattenschwanz hinten drann, grundsätzlich sind sehr sichere systeme möglich Hängt wie gesagt vom exploit ab. Der 0815 exploit nutzt die Schwachstelle ja nur um eigene binaries nachzuladen, diese würden dann geblockt werden. Ein guter exploit würde eher im Rahmen der Berechtigungen der Applikation weiterarbeiten. Wenn Das OS angegrifren wird ist es sowieso vorbei. das kannst nur durch sideeffects erkennen. Aber gut, das geht etwas vom Thema vorbei. Wenn ihr diesen hohen schutzbedarf habt, dann sind diese Intel vulnerabilities (wenn nicht sogar Design Fehler), auf jeden Fall etwas das ihr beheben müsst.

Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-Ausführung

Forum Index > Hardware > Komponenten > Mainboards

creative2k

lalaker

Dreamforcer

Viper780

Smut

daisho

Viper780

xaxoxix

Smut

Rogaahl

xaxoxix

Smut

xaxoxix

daisho

Smut