Tipps zur Intel-ME-Sicherheitslücke SA-00075
Am 1. Mai hat Intel eine Sicherheitslücke in der ME-Firmware vieler Desktop-PCs, Notebooks und Server gemeldet: Was Sie jetzt tun sollten.
Die Sicherheitslücke INTEL-SA-00075 (CVE-2017-5689) steckt in der Firmware der sogenannten Management Engine (ME), die Bestandteil aller Intel-Chipsätze und Intels System-on-Chip-Prozessoren der letzten 10 Jahre ist. Betroffen sind aber nur bestimmte Chipsätze beziehungsweise Mobilprozessoren ab der Generation Sandy Bridge, die seit 2010 verkauft wurden.
Unmittelbarer Handlungsbedarf besteht nur, wenn sowohl bestimmte Fernwartungsfunktionen aktiviert sind und die betroffenen Systeme gleichzeitig auch per Netzwerk (Ethernet/WLAN) von potenziellen Angreifern erreichbar sind.
Anders gesagt: Das Risiko ist gering, wenn ein betroffenes System in einem Heimnetz arbeitet, dessen DSL-Router Zugriffe auf die von der Fernwartung genutzten Ports wie 16992 und 16993 aus dem Internet blockiert.
Bei anderen Systemen kann man sich behelfen, indem man die Intel-Fernwartung "Active Management Technology" (AMT) abschaltet oder einfach eine andere Netzwerkkarte nachrüstet, etwa via PCI Express oder notfalls per USB. So kann man bei Notebooks und Mini-PCs auch WLAN-Adapter mit Intel-Fernwartung ersetzen.
Tipps zur Intel-ME-Sicherheitslücke SA-00075 (11 Bilder)
Lokaler Angriff
Wenn es keinen Netzwerkzugriff auf den Ethernet- oder WLAN-Adapter mit Intel-Fernwartungsfunktionen (mehr) gibt, ist der heikelste Angriffspfad verschlossen. Doch dann könnte aber weiterhin ein Angreifer mit direktem physischen Zugriff auf das betroffene System die Sicherheitslücke ausnutzen. Das gilt laut Intel auch bei Systemen ohne umfangreiche Fernwartungsfunktionen, also mit der Funktion Small Business Advantage (SBA).
Dieses Risiko sollte man aber nicht überschätzen: Wer direkten Zugriff auf einen PC hat, kann ohnehin vielfältige Manipulationen ausführen, sofern das System nicht sorgfältig verrammelt wurde. Dazu muss etwa das BIOS-Setup des Rechners mit einem Passwort geschützt sein – sonst könnte ein Angreifer auch einfach Intel AMT einschalten, falls deaktiviert –, das BIOS sollte kein anderes System von USB starten dürfen, die Festplatte/SSD sollte verschlüsselt sein und alle Nutzerkonten des Betriebssystems müssen mit sicheren Passwörtern geschützt sein.
Wenn leichter nutzbare Angriffsmöglichkeiten als die ME-Sicherheitslücke offenstehen, wird ein Angreifer wohl kaum Letztere nutzen.
Betroffene Systeme
Betroffen sein können Systeme mit Core i7, Core i5, Core i3, Xeon, Pentium und Celeron, die seit 2010 auf den Markt kamen. Die Lücke klafft in den Firmwares für die AMT-Typen ab Version 6.
Desktop-PCs und Notebooks mit der ME-Version AMT, also mit besonderen Intel-Netzwerkchips (Ethernet und WLAN) für Fernzugriff auf BIOS-Setup und grafischen Desktop (Remote KVM), vermarket Intel als vPRO-Bürocomputer. Sie haben "Q"-Chipsätze wie Q57, Q67, Q77, Q87, Q170 und Q270. Einfachere ME-Versionen mit Funktionen von Intel Small Business Advantage (SBA) laufen in Q65, B65, Q75, B75, Q85, B85, Q150, B150, Q250 und B250.
Von den meisten dieser Chipsätze gibt es auch Mobilversionen, bei den verbreiteten "U"-Mobilprozessoren mit 15 Watt TDP in flachen Notebooks ist der Chipsatz allerdings integriert. Deshalb ist eine Chipsatzbezeichnung seltener zu finden. Betroffen sind wohl die meisten der teureren Business-Notebooks der großen Markenhersteller mit älterer ME-Firmware.
Auch Server mit Chipsätzen wie dem C236 können betroffen sein. Mittlerweile haben Firmen wie Lenovo, Fujitsu, HP und Thomas-Krenn Listen betroffener Systeme veröffentlicht, siehe unten.
Welche Firmware-Version betroffen?
Der Fehler steckt nach bisherigen Erkenntnissen in allen ME-Firmwares vor dem 1. Mai 2017, die eine Build-Nummer kleiner als "3000" tragen. Manches BIOS-Setup zeigt die ME-Firmware-Version direkt an. Ist eine der ME-Fernwartungsfunktionen aktiv, kann man die Version der ME-Firmare meistens auch mit Administrator-Tools auslesen. Sie Firmwareversion wird auch angezeigt, wenn man auf die Web-Oberfläche der Intel-Fernwartung zugreift.
Die Build-Nummer steht in der "FWVersion" im letzten, vierstelligen Ziffernblock. Bei "11.0.0.1202" wäre sie "1202" – also angreifbar – und bei "11.6.27.3264" wäre sie "3264", also sicher.
Die ME-Firmare-Version kann man auch unter Windows 7 bis 10 auslesen, wie Intel im PDF-Dokument "INTEL-SA-00075 Detection Guide" erklärt. Dazu führt man das Intel SCS - System Discovery Utility auf einer Kommandozeile mit Administratorrechten aus. Es schreibt Funktionstyp und Firmware-Version der ME des jeweiligen Systems in eine XML-Datei. Dort wiederum findet man hinter dem Tag <FWVersion> die erwähnte Build-Nummer.
Welche Funktion betroffen?
Angreifbar via Ethernet oder WLAN sind Systeme mit betroffener Firmware aber nur, wenn die Fernwartung auch aktiv ist. Sonst antwortet die Fernwartung nicht auf Zugriffsversuche.
Intels Active Management Technology kennt zwei unterschiedliche Betriebsmodi: Das "volle" AMT mit Fernzugriff auf den grafischen Desktop bei Systemen, die Intels integrierte Prozessorgrafik verwenden, oder "Intel Standard Manageability". Letzeres läuft, wenn AMT aktiv ist, aber eine andere GPU im System steckt oder ein Intel-Prozessor mit GPU, der nicht den vPRO-Vorgaben entspricht: Also Celeron, Pentium oder Core i3.
Den vollen vPRO-Funktionsumfang inklusive AMT gibt es nur mit einem Core i5, Core i7 oder Xeon E3-1200.
Updates woher?
Die beste Abhilfe gegen die Sicherheitslücke ist ein Firmware-Update. PC-Hersteller wie Fujitsu, Intel, HP, Lenovo haben bereits Listen betroffener Systeme veröffentlicht, auf denen sie jeweils auch die Download-Links zu den Updates nachtragen wollen. Die ersten fehlerbereinigten BIOS-Updates sollen ab der zweiten Maiwoche bereitstehen.
Doch bisher (5. Mai) kann noch nicht einmal Intel welche liefern. Die ME-Firmware ist Teil des BIOS-Images, kann also mit BIOS-Updates erneuert werden. Hersteller mit guter Versionsdokumentation, beispielsweise Intel selbst, nennen in den Readme-Dateien zu BIOS-Updates auch die Versionsnummern der enthaltenenen Firmwares, etwa für ME, GPU et cetera. Bei anderen Herstellern kann man nur hoffen, dass sie den Patch dokumentieren, oder muss nachfragen.
Nothilfe
Intel beschreibt im Dokument INTEL-SA-00075 Mitigation Guide, wie man auf Windows-Rechnern, für die man kein Firmware-Update für die ME bekommt, hilfsweise den Local Manageability Service (LMS) abschaltet.
Wer Zugriff auf das BIOS-Setup seines Rechners hat und das Administratorpasswort für die AMT-Fernwartung kennt, kann sie aber meistens auch im System abschalten. Anschließend antwortet der ME-Webserver nicht mehr.
Wer auf Intel AMT verzichten kann, kann wie erwähnt auch einfach eine andere Netzwerkkarte in den Desktop-PC einbauen.
Listen betroffener Systeme, dort auch erste Update-Links:
[Update:] Hersteller (Acer) und Links hinzugeführt
Weitere Informationen zum Thema:
- INTEL-SA-00075: Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege
- CVE-2017-5689
- BSI CERT Bund CB-K17/0737
- BSI warnt vor Risiko bei Intels Fernwartungstechnik AMT
- Das leistet die „Management Engine“ in Intel-Chipsätzen
- Ferngesteuert: Fernwartungstechnik für Büro-PCs und -Notebooks
- Linux-Tüftler wollen Intels Management Engine abschalten
- Free Software Foundation kritisiert AMD und Intel
- Spekulationen um geheime Hintertüren in Intel-Chipsätzen
- Deutschen Behörden entgleitet die Kontrolle über kritische IT-Systeme
- Innovation Engine ergänzt Management Engine (ME)
- Libiquity Taurinus X200: Linux-Notebook ohne Intels Management Engine
- POWER8-Workstation mit offener Firmware und Linux
- AMD Platform Security Processor (PSP)
(ciw)