Intel-ME-Sicherheitslücke: Erste Produktliste, noch keine Updates
Zu der am 1. Mai von Intel gemeldeten Sicherheitslücke in der Management Engine (ME) gibt es einige neue Informationen, aber noch keine Updates.
Intel Active Management Technology (AMT) lauscht auf Port 16992, mit TLS/https auf 16993.
Seit dem 1. Mai warnt Intel im Security Advisory INTEL-SA-00075 (CVE-2017-5689) vor einer Sicherheitslücke bei vielen Bürocomputern und Business-Notebooks mit Fernwartungsfunktionen. Als erster PC- und Notebook-Hersteller hat Lenovo mittlerweile eine Liste betroffener Geräte bereitgestellt. Demnach werden die ersten Patches in der kommenden Woche erwartet, also ab 9. Mai. Bei manchen Geräten wird es aber auch vier Wochen länger dauern, bis Updates kommen.
[Update:] Auch HP hat eine Support-Webseite mit einer Liste betroffener HP-PCs zusammengestellt; erste Patches sollen demnach am 10. Mai kommen. In der Tabelle findet man auch schon die jeweilige ME-Firmware-Versionsnummer der fehlerfreien Variante.
Bei anderen Herstellern von Desktop- und Mobil-PCs, Mainboards und Servern konnte heise online noch keine Updates finden – selbst nicht bei Intel, wo der Mini-PC-Barebone NUC5i5MYBE mit vPRO-Funktion betroffen ist.
[2. Update:] Intel hat im Support-Forum Seiten mit Links zu betroffenen Mini-PCs der Familien NUC und Compute Stick eingerichtet sowie zu (älteren) Desktop-PC-Mainboards.
Fujitsu hat "für einige Systeme" schon Updates und mittlerweile eine Info-Seite freigeschaltet.
Auch Thomas-Krenn hat bereits reagiert.
Anfragen an Hersteller wie Acer, Apple, Asrock, Asus, Dell, Gigabyte, MSI und Supermicro laufen derzeit. Dell verweist in einer ersten Antwort auf die Hinweise von Intel, um betroffene Firmware-Versionen zu erkennen und bei Bedarf den Dienst Local Manageability Service (LMS) abzuschalten.
Embedi klärt auf
Unterdessen hat die Firma Embedi, die Intel auf die Sicherheitslücke hingewiesen hat, in einem Blog-Beitrag ein paar Hintergründe zu dem Problem erklärt. Demnach geht es bei dem Problem sicher nicht um Remote Code Execution (RCE).
Kaspersky Threatpost verweist auf einen Twitter-Screenshot, laut dem bereits im April häufiger Portscans auf die Ports 16992 und 16993 festgestellt wurden. Wenn die ME als AMT-Fernwartung arbeitet (Intel Active Management Technology), dann läuft auf einem dieser Ports – 16992 mit TLS/https, 16992 ohne – ein Webserver.
Links zum Thema:
- Sicherheitslücke in vielen Intel-Systemen seit 2010
- Liste betroffener Lenovo-Systeme (ThinkPad, ThinkCentre, ThinkServer, ThinkStation)
- INTEL-SA-00075: Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege
- CVE-2017-5689
- BSI CERT Bund CB-K17/0737
- Intel-Barebone NUC5i5MYBE
(ciw)
