"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Intel Management Engine anfällig für Rechteausweitung

mr.nice. 02.05.2017 - 15:54 6617 14
Posts

mr.nice.

Moderator
endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Für Privatanwender weniger bedrohlich, für Firmennetze unter Umständen schon: Angreifbar über das Netzwerk sind viele Intel Systeme ab Baujahr 2010, sofern Active Management Technology, kurz AMT, oder Intel Standard Manageability, kurz ISM, provisioniert und aktiviert sind. Bei Small Business Advantage, kurz SBA, ist die Lücke nur lokal ausnutzbar.

Betoffen sind die Intel ME Firmware Versionen 6.x, 7.x, 8.x, 9.x, 10.x, 11.0, 11.5, und 11.6 von Bürorechnern die mit vPro beworben werden und auf Chipsätzen wie Q57, Q67, Q77, Q87, Q170 und Q270, bzw. Q65, B65, Q75, B75, Q85, B85, Q150, B150, Q250 und B250 aufbauen.

Empfohlen wird ein Management Engine Firmware Update mit einer Buildnummer, deren vierstelliger Schlussblock größer als 3000 ist, zu installieren, oder wenn es keine entsprechenden Updates gibt, Intel AMT und den LMS Dienst zu deaktivieren. Eine entsprechende Anleitung ist als INTEL-SA-00075 Mitigation Guide zu finden.


Intel Detection Guide & Discovery Tool

OEM Statements:
DELL
HP
Lenovo
Fujitsu
Intel NUC Intel Mainboards Intel Compute Sticks

InfiX

she/her
Avatar
Registered: Mar 2002
Location: Graz
Posts: 13637
ist also vom chipsatz und nicht der cpu abhängig, sprich server-chipsätze sind nicht betroffen? na dann.

Cobase

Mr. RAM
Avatar
Registered: Jun 2001
Location: Linz
Posts: 17885
1. Die Intel-Anleitung ist für A und F. :o

2. Deaktivieren? Leider nicht immer möglich...

3. Updates? Bei teilweise 7 Jahre alten Systemen? Wollt ihr mich ********en?

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19561
Hatte kein Problem ein XML mit der Computerconfig zu erstellen, die Intel Management und Security Software zeigt mir bei allen Punkten "no Information" an, vermutlich weil es einfach im BIOS deaktiviert ist (steht zumindest im resulting XML) und nie konfiguriert wurde.

Firmware Updates für ich weiß nicht wie viele Rechner stelle ich mir auch interessant vor. Aber warum hat man so eine Software auch in BIOS-Niveau eingebaut ... war klar dass DAS irgendwann passieren wird :o

mat

Administrator
Legends never die
Avatar
Registered: Aug 2003
Location: nö
Posts: 25373
Jetzt wäre es natürlich toll, wenn die Intel-Webseite den (gefixten) Chipsatz-Driver wunderschön zum Download anbieten würde. Leider muss man dafür allein schon Experte sein, weil man findet irgendwelche alten, grauslichen Versionen, aber sicher nicht das, was man wirklich braucht. Und wenn man den Driver findet, dann weiß man nicht einmal, ob das wirklich die neueste Version für den eigenen Chipsatz ist. Wer jetzt hilflos das relativ neue Update-Tool herunterlädt, wir sich wundern, weil das funktioniert scheinbar nur für Grafikkarten-Driver. :bash:

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19561
Aaah, die Intel-Software-Download Site :p

mr.nice.

Moderator
endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Für die Behebung braucht es jedenfalls ein Intel ME Firmware Update und weniger einen neuen Treiber, bei den großen OEMs ist das oft Teil des BIOS-Updates.
Aus Erfahrung kann ich berichten, dass provisionierte AMT Rechner gerne Fehler beim Update schmeißen und diese sich nur durch unprovisioning, Firmware update und Neuprovisionierung lösen lassen.

Ich Frage mich wer sich den Aufwand antun wird und wie viele Rechner zukünftig eine ungefixte privilege esacalation aufweisen werden. Wenn ich Zyniker wäre würde ich sagen, auch eine Möglichkeit die Firmen zum Workstation Neukauf zu bewegen.

Die Verbindung aus Intel Chipsatz, CPU und Netzwerkkarte bildet ja die Grundlage einer vPro fähigen Plattform. Wo genau die Schwachstellen zu suchen sind weiß ich nicht, mein Eindruck ist, dass die Netzwerkkarte eine erhebliche Rolle dabei spielt.

Cobase

Mr. RAM
Avatar
Registered: Jun 2001
Location: Linz
Posts: 17885
Ohne BIOS-Update vom Hersteller bleibt nur das Deaktivieren von AMT, falls das System das zuläßt. Bei mir zumindest ist ein komplettes Deaktivieren nicht möglich. Bleibt nur ein Zudrehen der Ports im Router und der Firewall.

mr.nice.

Moderator
endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Den LMS Dienst unter Windows zu deaktivieren, verhindert das Ausnutzen dieser bekannt gewordenen Lücke laut Medienberichten auch.

Das ginge z.B. so:

LMS Status abfragen
Code:
sc qc LMS

Wenn aktiv, LMS Autostart deaktivieren und stoppen:
Code:
sc config LMS start= disabled
sc stop LMS

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19561
Oder wie die meisten es machen:

services.msc > "Intel(R) Management and Security Application Local Management Service" deaktivieren.

Bei mir ist der auf Autostart (Delayed Start) per default, aber nicht gestartet (weil lt. BIOS eh nicht aktiviert und nicht gebraucht). Wer auf Nummer Sicher gehen will kann den Dienst aber auch deaktivieren (bzw. stoppen und deaktivieren, falls er läuft).

mr.nice.

Moderator
endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Update: Links zu OEM Statements und Intel Discovery Tool hinzugefügt.

mr.nice.

Moderator
endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Das IntelME Drama geht weiter, mit der pikanten Verschärfung, dass diesmal auch die Server Plattform Services betroffen sind:

Von Intel gibt es ein detection tool, mit dem man prüfen kann ob das eigene BIOS betroffen ist:
https://www.intel.com/content/www/u...9/software.html

Garbage

Administrator
The Wizard of Owls
Avatar
Registered: Jul 2000
Location: GR.ch|TI.ch
Posts: 11206
Bilde mir ein, dass es immer geheißen hat geht nicht, hm.
Für den Großteil der Benutzer aber garantiert nichts was abgeht.

issue

Rock and Stone, brother!
Avatar
Registered: Feb 2003
Location: Linz
Posts: 3599
Es gibt ein Tool, das den Grossteil der ME module loescht und nur das Notwendigste zum Booten ueber laesst.
https://github.com/corna/me_cleaner

chris281080

Big d00d
Registered: Jul 2001
Location: near Vienna
Posts: 142
Außerdem kann der "me_cleaner" das HAP-Flag (High Assurance Platform) setzen.

Ein bisschen Vorsprung hinsichtlich Laptops mit "deaktivierter" Management Engine hat übrigens Purism:
https://puri.sm/
Bearbeitet von chris281080 am 05.12.2017, 20:33
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz