mr.nice.
Moderatordifferential image maker
|
Für Privatanwender weniger bedrohlich, für Firmennetze unter Umständen schon: Angreifbar über das Netzwerk sind viele Intel Systeme ab Baujahr 2010, sofern Active Management Technology, kurz AMT, oder Intel Standard Manageability, kurz ISM, provisioniert und aktiviert sind. Bei Small Business Advantage, kurz SBA, ist die Lücke nur lokal ausnutzbar. Betoffen sind die Intel ME Firmware Versionen 6.x, 7.x, 8.x, 9.x, 10.x, 11.0, 11.5, und 11.6 von Bürorechnern die mit vPro beworben werden und auf Chipsätzen wie Q57, Q67, Q77, Q87, Q170 und Q270, bzw. Q65, B65, Q75, B75, Q85, B85, Q150, B150, Q250 und B250 aufbauen. Empfohlen wird ein Management Engine Firmware Update mit einer Buildnummer, deren vierstelliger Schlussblock größer als 3000 ist, zu installieren, oder wenn es keine entsprechenden Updates gibt, Intel AMT und den LMS Dienst zu deaktivieren. Eine entsprechende Anleitung ist als INTEL-SA-00075 Mitigation Guide zu finden. Sicherheitslücke in vielen Intel-Systemen seit 2010Die Firmware der oft kritisierten Management Engine (ME) in vielen PCs, Notebooks und Servern mit Intel-Prozessoren seit 2010 benötigt Updates, um Angriffe zu verhindern. Link: www.heise.de Intel Detection Guide & Discovery ToolOEM Statements:DELLHPLenovoFujitsuIntel NUC Intel Mainboards Intel Compute Sticks
|
InfiX
she/her
|
ist also vom chipsatz und nicht der cpu abhängig, sprich server-chipsätze sind nicht betroffen? na dann.
|
Cobase
Mr. RAM
|
1. Die Intel-Anleitung ist für A und F. 2. Deaktivieren? Leider nicht immer möglich... 3. Updates? Bei teilweise 7 Jahre alten Systemen? Wollt ihr mich ********en?
|
daisho
SHODAN
|
Hatte kein Problem ein XML mit der Computerconfig zu erstellen, die Intel Management und Security Software zeigt mir bei allen Punkten "no Information" an, vermutlich weil es einfach im BIOS deaktiviert ist (steht zumindest im resulting XML) und nie konfiguriert wurde. Firmware Updates für ich weiß nicht wie viele Rechner stelle ich mir auch interessant vor. Aber warum hat man so eine Software auch in BIOS-Niveau eingebaut ... war klar dass DAS irgendwann passieren wird
|
mat
AdministratorLegends never die
|
Jetzt wäre es natürlich toll, wenn die Intel-Webseite den (gefixten) Chipsatz-Driver wunderschön zum Download anbieten würde. Leider muss man dafür allein schon Experte sein, weil man findet irgendwelche alten, grauslichen Versionen, aber sicher nicht das, was man wirklich braucht. Und wenn man den Driver findet, dann weiß man nicht einmal, ob das wirklich die neueste Version für den eigenen Chipsatz ist. Wer jetzt hilflos das relativ neue Update-Tool herunterlädt, wir sich wundern, weil das funktioniert scheinbar nur für Grafikkarten-Driver.
|
daisho
SHODAN
|
Aaah, die Intel-Software-Download Site
|
mr.nice.
Moderatordifferential image maker
|
Für die Behebung braucht es jedenfalls ein Intel ME Firmware Update und weniger einen neuen Treiber, bei den großen OEMs ist das oft Teil des BIOS-Updates. Aus Erfahrung kann ich berichten, dass provisionierte AMT Rechner gerne Fehler beim Update schmeißen und diese sich nur durch unprovisioning, Firmware update und Neuprovisionierung lösen lassen.
Ich Frage mich wer sich den Aufwand antun wird und wie viele Rechner zukünftig eine ungefixte privilege esacalation aufweisen werden. Wenn ich Zyniker wäre würde ich sagen, auch eine Möglichkeit die Firmen zum Workstation Neukauf zu bewegen.
Die Verbindung aus Intel Chipsatz, CPU und Netzwerkkarte bildet ja die Grundlage einer vPro fähigen Plattform. Wo genau die Schwachstellen zu suchen sind weiß ich nicht, mein Eindruck ist, dass die Netzwerkkarte eine erhebliche Rolle dabei spielt.
|
Cobase
Mr. RAM
|
Ohne BIOS-Update vom Hersteller bleibt nur das Deaktivieren von AMT, falls das System das zuläßt. Bei mir zumindest ist ein komplettes Deaktivieren nicht möglich. Bleibt nur ein Zudrehen der Ports im Router und der Firewall.
|
mr.nice.
Moderatordifferential image maker
|
Den LMS Dienst unter Windows zu deaktivieren, verhindert das Ausnutzen dieser bekannt gewordenen Lücke laut Medienberichten auch. Das ginge z.B. so: LMS Status abfragen sc qc LMS
Wenn aktiv, LMS Autostart deaktivieren und stoppen: sc config LMS start= disabled
sc stop LMS
|
daisho
SHODAN
|
Oder wie die meisten es machen:
services.msc > "Intel(R) Management and Security Application Local Management Service" deaktivieren.
Bei mir ist der auf Autostart (Delayed Start) per default, aber nicht gestartet (weil lt. BIOS eh nicht aktiviert und nicht gebraucht). Wer auf Nummer Sicher gehen will kann den Dienst aber auch deaktivieren (bzw. stoppen und deaktivieren, falls er läuft).
|
mr.nice.
Moderatordifferential image maker
|
Update: Links zu OEM Statements und Intel Discovery Tool hinzugefügt.
|
mr.nice.
Moderatordifferential image maker
|
Das IntelME Drama geht weiter, mit der pikanten Verschärfung, dass diesmal auch die Server Plattform Services betroffen sind: Intel stopft neue Sicherheitslücken der Management Engine (SA-00086)Intels Security Advisory SA-00086 beschreibt mehrere Fehler in der Firmware der Management Engine (ME 11.0 bis 11.7), in Trusted Execution Engine 3.0 und in den Server Platform Services (SPS 4.0). Link: www.heise.de Von Intel gibt es ein detection tool, mit dem man prüfen kann ob das eigene BIOS betroffen ist: https://www.intel.com/content/www/u...9/software.html
|
Garbage
AdministratorThe Wizard of Owls
|
Intel: Notebook-Hersteller schalten Management Engine abIn den letzten Tagen meldeten zwei Notebook-Hersteller, dass sie die umstrittene Intel ME auf Notebooks abschalten werden. Link: www.computerbase.de Bilde mir ein, dass es immer geheißen hat geht nicht, hm. Für den Großteil der Benutzer aber garantiert nichts was abgeht.
|
issue
Rock and Stone, brother!
|
|
chris281080
Big d00d
|
Außerdem kann der "me_cleaner" das HAP-Flag (High Assurance Platform) setzen. Ein bisschen Vorsprung hinsichtlich Laptops mit "deaktivierter" Management Engine hat übrigens Purism: https://puri.sm/
Bearbeitet von chris281080 am 05.12.2017, 20:33
|