Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-Ausführung
URL: https://www.overclockers.at/mainboards/intel-chipstze-sicherheitslcke-erlaubt-beliebige-code-ausfhrung_249737/page_1 - zur Vollversion wechseln!
creative2k schrieb am 23.09.2017 um 07:18
Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-AusführungIm Programm der Black Hat 2017 verbirgt sich Sprengstoff, denn eine Lücke in Intels Chipsätzen soll die Ausführung beliebigen Codes ermöglichen. Schuld ist die Intel Management Engine, die seit rund zehn Jahren in jedem Intel-Chipsatz steckt und Zugriff auf fast alle Komponenten und Daten des PCs hat, ohne überwacht zu werden.
Komplettzugriff ohne Wissen des Nutzers
„How to hack a turned-off computer, or running unsigned code in Intel Management Engine“ lautet der Eintrag im Programm der IT-Sicherheitskonferenz Black Hat Europe 2017, die vom 4. bis 7. Dezember 2017 in London stattfinden wird. Mark Ermolov und Maxim Goryachy von der russischen Sicherheitsfirma Positive Technologies (PTE) möchten im Vortrag zeigen, wie es ihnen gelungen ist, Intels Management Engine (ME) zu hacken, da diese in einem Subsystem eine weitreichende Sicherheitslücke aufweise. So soll es möglich sein, eigenen unsignierten Code auszuführen, wovon der Nutzer nichts mitbekomme und was auch von keinem Virenscanner festgestellt werden könne. Selbst ein BIOS-Update oder eine Neuinstallation des Betriebssystems wären gegen diesen Angriff nutzlos.
Link: www.computerbase.de
lalaker schrieb am 23.09.2017 um 10:31
Wenn das zutrifft hat es das Zeug zum Supergau (medial).
Dreamforcer schrieb am 23.09.2017 um 13:07
wirklicih erschlossen hat sich mir der sinn der me eh noch nicht, daher wundert mich solche sachen nicht wirklich, war ja nicht die erste lücke dort
Viper780 schrieb am 02.10.2017 um 12:42
In der ME wurde das schon lange vermutet und es geisterte vor Jahren schon diverse Hacks dafür herum.
Das das Ding jetzt aber so offen verwundert doch etwas.
Im Grunde ist das aber nicht unbedingt eine Sicherheitslücke sondern teil vom Design
Smut schrieb am 02.10.2017 um 12:57
soweit ich informiert bin, lässt es sich nur über die onboard Intel NIC ausnutzen.
daisho schrieb am 02.10.2017 um 13:09
Ist das jetzt was Neues oder geht es da um die uralt-News von hier: https://www.overclockers.at/mainboa...sweitung_248746
?
Viper780 schrieb am 02.10.2017 um 13:28
Andere, wesentlich weitreichendere Lücke.
Aber selbes Problem
xaxoxix schrieb am 06.10.2017 um 19:21
wir setzen amt seit jahren ein allerdings nur innerhalb der internen netzwerke und fahren eigentlich sehr gut damit, dass ich unabhängig von treibern und betriebssystem aufs kastel zugreifen kann hat schon gewaltigen charme, netzwerkkartentreiber im betirebssystem nicht vorhanden - scheissegal greif dennoch per fernwartung zu, spiel das dings ein, fertig, rechner raus aus domain, wieder rein, alles wurscht, windows firewall blockiert was eigentlich für betirebssytem wartung notwenidg is, linux rumwurschteln, mac, alles wurscht und ob das kistel eingeschaltet is oder nicht is ma auch wumpe
zugriffe von aussen gibts sowieso keine nutzbaren zu den clients
Smut schrieb am 06.10.2017 um 20:49
Reicht ja wenn ein Client ein Spam mail öffnet und dein l2 Segment ist sowas von kompromittiert binnen Sekunden.
Boarder Firewall hilft da gerade bei Clients nur ganz wenig.
Rogaahl schrieb am 06.10.2017 um 21:06
Frage mich ob https://github.com/corna/me_cleaner da noch Abhilfe schafft, von der vorigen Lücke war ich nicht mehr betroffen da ich einfach die ME firmware selbst upgedated habe.
Warum gibt es noch immer keine Geräte die mit Libreboot ausgeliefert werden.. 
xaxoxix schrieb am 06.10.2017 um 21:55
Reicht ja wenn ein Client ein Spam mail öffnet und dein l2 Segment ist sowas von kompromittiert binnen Sekunden.
Boarder Firewall hilft da gerade bei Clients nur ganz wenig.
schliesse ich aus, da bei uns nur eine whitelist von ausführbaren dateien gestartet werden kann (softwarepolicies), macros, anderer schass sowieso nicht erlaubt ist und sämtlicher webtransfer über proxy geleitet wird (ebenso whitelistbasierend)
Smut schrieb am 06.10.2017 um 21:59
Greift in der Regel bei einem exploit nicht sondern schützt vor dem User.
Was verwendet ihr? Applocker?
xaxoxix schrieb am 06.10.2017 um 23:20
nein softwarerestrictions policies aus dem ad (und ja ist ähnlich der clientbasierten lösung des applockers) btw und ja greift natürlich auch im falle von exploits solange diese nicht die softwarerestrictiontechnologie von ms selbst betreffen und sollte es programme der whitelist treffen - was zwar möglich wäre ( ich aber aufgrund unserer sehr strickten auswahl und permanenten audits , updates, testweisen attacks selber versuchen zu überprüfen eher ausschliese) greifen noch weitere schutzmechanismen und damit meine ich nicht clientvirenscanner etc die generell mehr schaden anrichten als nutzen haben, aber das sehen viele halt anders
den aufwand dahinter möchte ich aber auch keinem zumuten, der es aufgrund der sensibilität der daten nicht machen muss, hängt schon ziemlich ein rattenschwanz hinten drann, grundsätzlich sind sehr sichere systeme möglich
daisho schrieb am 07.10.2017 um 11:42
schliesse ich aus, da bei uns nur eine whitelist von ausführbaren dateien gestartet werden kann (softwarepolicies), macros, anderer schass sowieso nicht erlaubt ist und sämtlicher webtransfer über proxy geleitet wird (ebenso whitelistbasierend)
Ist halt keine normale Umgebung imho (könnte als Support nicht mit so einer Umgebung leben), hört sich außerdem ziemlich nach AIDS an. (imho)
Smut schrieb am 07.10.2017 um 12:15
nein softwarerestrictions policies aus dem ad (und ja ist ähnlich der clientbasierten lösung des applockers) btw und ja greift natürlich auch im falle von exploits solange diese nicht die softwarerestrictiontechnologie von ms selbst betreffen und sollte es programme der whitelist treffen - was zwar möglich wäre ( ich aber aufgrund unserer sehr strickten auswahl und permanenten audits , updates, testweisen attacks selber versuchen zu überprüfen eher ausschliese) greifen noch weitere schutzmechanismen und damit meine ich nicht clientvirenscanner etc die generell mehr schaden anrichten als nutzen haben, aber das sehen viele halt anders
den aufwand dahinter möchte ich aber auch keinem zumuten, der es aufgrund der sensibilität der daten nicht machen muss, hängt schon ziemlich ein rattenschwanz hinten drann, grundsätzlich sind sehr sichere systeme möglich
Hängt wie gesagt vom exploit ab. Der 0815 exploit nutzt die Schwachstelle ja nur um eigene binaries nachzuladen, diese würden dann geblockt werden.
Ein guter exploit würde eher im Rahmen der Berechtigungen der Applikation weiterarbeiten. Wenn Das OS angegrifren wird ist es sowieso vorbei. das kannst nur durch sideeffects erkennen.
Aber gut, das geht etwas vom Thema vorbei. Wenn ihr diesen hohen schutzbedarf habt, dann sind diese Intel vulnerabilities (wenn nicht sogar Design Fehler), auf jeden Fall etwas das ihr beheben müsst.
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025