Tipps zur Intel-ME-Sicherheitslücke SA-00075

Am 1. Mai hat Intel eine Sicherheitslücke in der ME-Firmware vieler Desktop-PCs, Notebooks und Server gemeldet: Was Sie jetzt tun sollten.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
PC mit Intel-Netzwerkchip
Lesezeit: 7 Min.
Inhaltsverzeichnis

Die Sicherheitslücke INTEL-SA-00075 (CVE-2017-5689) steckt in der Firmware der sogenannten Management Engine (ME), die Bestandteil aller Intel-Chipsätze und Intels System-on-Chip-Prozessoren der letzten 10 Jahre ist. Betroffen sind aber nur bestimmte Chipsätze beziehungsweise Mobilprozessoren ab der Generation Sandy Bridge, die seit 2010 verkauft wurden.

Unmittelbarer Handlungsbedarf besteht nur, wenn sowohl bestimmte Fernwartungsfunktionen aktiviert sind und die betroffenen Systeme gleichzeitig auch per Netzwerk (Ethernet/WLAN) von potenziellen Angreifern erreichbar sind.

Anders gesagt: Das Risiko ist gering, wenn ein betroffenes System in einem Heimnetz arbeitet, dessen DSL-Router Zugriffe auf die von der Fernwartung genutzten Ports wie 16992 und 16993 aus dem Internet blockiert.

Bei anderen Systemen kann man sich behelfen, indem man die Intel-Fernwartung "Active Management Technology" (AMT) abschaltet oder einfach eine andere Netzwerkkarte nachrüstet, etwa via PCI Express oder notfalls per USB. So kann man bei Notebooks und Mini-PCs auch WLAN-Adapter mit Intel-Fernwartung ersetzen.

Tipps zur Intel-ME-Sicherheitslücke SA-00075 (11 Bilder)

Ist Intels PC-Fernwartung Active Management Technology (AMT) aktiv, läuft auf dem System ein Webserver; nach dem Login zeigt dessen Startseite auch die Firmware-Version der Management Engine.

Wenn es keinen Netzwerkzugriff auf den Ethernet- oder WLAN-Adapter mit Intel-Fernwartungsfunktionen (mehr) gibt, ist der heikelste Angriffspfad verschlossen. Doch dann könnte aber weiterhin ein Angreifer mit direktem physischen Zugriff auf das betroffene System die Sicherheitslücke ausnutzen. Das gilt laut Intel auch bei Systemen ohne umfangreiche Fernwartungsfunktionen, also mit der Funktion Small Business Advantage (SBA).

Dieses Risiko sollte man aber nicht überschätzen: Wer direkten Zugriff auf einen PC hat, kann ohnehin vielfältige Manipulationen ausführen, sofern das System nicht sorgfältig verrammelt wurde. Dazu muss etwa das BIOS-Setup des Rechners mit einem Passwort geschützt sein – sonst könnte ein Angreifer auch einfach Intel AMT einschalten, falls deaktiviert –, das BIOS sollte kein anderes System von USB starten dürfen, die Festplatte/SSD sollte verschlüsselt sein und alle Nutzerkonten des Betriebssystems müssen mit sicheren Passwörtern geschützt sein.

Wenn leichter nutzbare Angriffsmöglichkeiten als die ME-Sicherheitslücke offenstehen, wird ein Angreifer wohl kaum Letztere nutzen.

Betroffen sein können Systeme mit Core i7, Core i5, Core i3, Xeon, Pentium und Celeron, die seit 2010 auf den Markt kamen. Die Lücke klafft in den Firmwares für die AMT-Typen ab Version 6.

Desktop-PCs und Notebooks mit der ME-Version AMT, also mit besonderen Intel-Netzwerkchips (Ethernet und WLAN) für Fernzugriff auf BIOS-Setup und grafischen Desktop (Remote KVM), vermarket Intel als vPRO-Bürocomputer. Sie haben "Q"-Chipsätze wie Q57, Q67, Q77, Q87, Q170 und Q270. Einfachere ME-Versionen mit Funktionen von Intel Small Business Advantage (SBA) laufen in Q65, B65, Q75, B75, Q85, B85, Q150, B150, Q250 und B250.

Intels Management Engine (ME) besteht aus Firmware und einem im Chipsatz integrierten Mikrocontroller.

Von den meisten dieser Chipsätze gibt es auch Mobilversionen, bei den verbreiteten "U"-Mobilprozessoren mit 15 Watt TDP in flachen Notebooks ist der Chipsatz allerdings integriert. Deshalb ist eine Chipsatzbezeichnung seltener zu finden. Betroffen sind wohl die meisten der teureren Business-Notebooks der großen Markenhersteller mit älterer ME-Firmware.

Auch Server mit Chipsätzen wie dem C236 können betroffen sein. Mittlerweile haben Firmen wie Lenovo, Fujitsu, HP und Thomas-Krenn Listen betroffener Systeme veröffentlicht, siehe unten.

Der Fehler steckt nach bisherigen Erkenntnissen in allen ME-Firmwares vor dem 1. Mai 2017, die eine Build-Nummer kleiner als "3000" tragen. Manches BIOS-Setup zeigt die ME-Firmware-Version direkt an. Ist eine der ME-Fernwartungsfunktionen aktiv, kann man die Version der ME-Firmare meistens auch mit Administrator-Tools auslesen. Sie Firmwareversion wird auch angezeigt, wenn man auf die Web-Oberfläche der Intel-Fernwartung zugreift.

Die Build-Nummer steht in der "FWVersion" im letzten, vierstelligen Ziffernblock. Bei "11.0.0.1202" wäre sie "1202" – also angreifbar – und bei "11.6.27.3264" wäre sie "3264", also sicher.

Die ME-Firmare-Version kann man auch unter Windows 7 bis 10 auslesen, wie Intel im PDF-Dokument "INTEL-SA-00075 Detection Guide" erklärt. Dazu führt man das Intel SCS - System Discovery Utility auf einer Kommandozeile mit Administratorrechten aus. Es schreibt Funktionstyp und Firmware-Version der ME des jeweiligen Systems in eine XML-Datei. Dort wiederum findet man hinter dem Tag <FWVersion> die erwähnte Build-Nummer.

Angreifbar via Ethernet oder WLAN sind Systeme mit betroffener Firmware aber nur, wenn die Fernwartung auch aktiv ist. Sonst antwortet die Fernwartung nicht auf Zugriffsversuche.

Die Management Engine (ME) kommuniziert via Netzwerkchip quasi am Betriebssystem vorbei.

(Bild: Intel)

Intels Active Management Technology kennt zwei unterschiedliche Betriebsmodi: Das "volle" AMT mit Fernzugriff auf den grafischen Desktop bei Systemen, die Intels integrierte Prozessorgrafik verwenden, oder "Intel Standard Manageability". Letzeres läuft, wenn AMT aktiv ist, aber eine andere GPU im System steckt oder ein Intel-Prozessor mit GPU, der nicht den vPRO-Vorgaben entspricht: Also Celeron, Pentium oder Core i3.

Den vollen vPRO-Funktionsumfang inklusive AMT gibt es nur mit einem Core i5, Core i7 oder Xeon E3-1200.

Die beste Abhilfe gegen die Sicherheitslücke ist ein Firmware-Update. PC-Hersteller wie Fujitsu, Intel, HP, Lenovo haben bereits Listen betroffener Systeme veröffentlicht, auf denen sie jeweils auch die Download-Links zu den Updates nachtragen wollen. Die ersten fehlerbereinigten BIOS-Updates sollen ab der zweiten Maiwoche bereitstehen.

Doch bisher (5. Mai) kann noch nicht einmal Intel welche liefern. Die ME-Firmware ist Teil des BIOS-Images, kann also mit BIOS-Updates erneuert werden. Hersteller mit guter Versionsdokumentation, beispielsweise Intel selbst, nennen in den Readme-Dateien zu BIOS-Updates auch die Versionsnummern der enthaltenenen Firmwares, etwa für ME, GPU et cetera. Bei anderen Herstellern kann man nur hoffen, dass sie den Patch dokumentieren, oder muss nachfragen.

Intel beschreibt im Dokument INTEL-SA-00075 Mitigation Guide, wie man auf Windows-Rechnern, für die man kein Firmware-Update für die ME bekommt, hilfsweise den Local Manageability Service (LMS) abschaltet.

Wer Zugriff auf das BIOS-Setup seines Rechners hat und das Administratorpasswort für die AMT-Fernwartung kennt, kann sie aber meistens auch im System abschalten. Anschließend antwortet der ME-Webserver nicht mehr.

Wer auf Intel AMT verzichten kann, kann wie erwähnt auch einfach eine andere Netzwerkkarte in den Desktop-PC einbauen.

Listen betroffener Systeme, dort auch erste Update-Links:

[Update:] Hersteller (Acer) und Links hinzugeführt

Weitere Informationen zum Thema:

(ciw)