Intel Management Engine gehackt
Sicherheitsexperten zeigten, wie sie eine Sicherheitslücke in Intels ME-Firmware nutzen, um unsignierten Code auszuführen. Die ME hat im Prinzip unbeschränkten Zugriff auf die Hardware des Systems, kann aber von Virenscannern nicht überwacht werden.
Mainboard mit Intel-Chipsatz mit ME
Intels Management Engine (ME), die seit rund zehn Jahren in praktisch jedem Computer mit Intel-Chips arbeitet, wird von vielen Sicherheitsexperten kritisiert: Die ME hat im Prinzip unbeschränkten Zugriff auf die Hardware des Systems, kann aber von Virenscannern nicht überwacht werden. Eine in der ME verankerte Malware lässt sich auch durch Neuinstallation des Betriebssystems oder Austausch von Datenträgern nicht entfernen. Deshalb schützt Intel die ME-Firmware mit zahlreichen Maßnahmen vor Schadcode und Angriffen.
ME-Lücke
Mark Ermolov und Maxim Goryachy von der russischen Sicherheitsfirma Positive Technologies (PTE) wollen in 10 Wochen auf der Black Hat Europe in London beweisen, dass sie Intels ME hacken konnten: Sie haben in einem Subsystem der ME eine Sicherheitslücke entdeckt und dazu genutzt, eigenen und unsignierten Code ausführen zu lassen.
ME-Funktionen
Außerdem analysieren sie damit das Verhalten der ME im Betrieb: Die Funktionsweise der ME dokumentiert Intel bisher nicht im Detail. Einige der Funktionen wie Active Management Technology (AMT) sind zwar bekannt und auch grundsätzliche Konzepte, die das kostenlose E-Book "Platform Embedded Security Technology Revealed" des Intel-Mitarbeiters Xiaoyu Ruan beschreibt.
Doch die ME ist nicht vollständig dokumentiert. Das haben Ermolov und Goryachy selbst erst kürzlich nachgewiesen, als sie den zuvor undokumentierten ME-"Ausschalter" für die High-Assurance Platform (HAP) zum Einsatz bei der NSA enttarnten.
ME11: Quark und Minix
Bei Ihren Analysen profitieren Ermolov und Goryachy nach eigenen Angaben von Änderungen der ME 11 im Vergleich zu früheren ME-Versionen: Die jüngere ME nutzt das Betriebssystem Minix auf sparsamen 32-Bit-x86-"Quark"-Kernen, die im Chipsatz oder SoC eingebettet sind. Zuvor setzte Intel auf ARC-Mikrocontroller und das RTOS ThreadX. Laut den PTE-Experten sind Intel beim Umstieg Fehler unterlaufen und außerdem könnten sie nun Werkzeuge für die Analyse von x86-Code verwenden.
Nicht die erste Lücke
Erst im Mai musste Intel eine kritische Lücke in der ME-Firmware stopfen. Dazu waren bei vielen Mainboards BIOS-Updates nötig. Schon diese Updates erreichen viele PC-Nutzer nicht, sodass sie unwissentlich weiter mit verwundbaren Systemen arbeiten. Für ältere Mainboards, PCs und Notebooks liefern die jeweiligen Hersteller oft gar keine BIOS-Updates mehr. Bei Embedded Systems und Servern können Firmware-Updates mit viel Aufwand verbunden sein.
Eine Kritik am Konzept der ME lautet, dass ihre aufwendige Firmware viel Komplexität in die Systeme bringt, die das Risiko von Sicherheitslücken steigert. Viele Käufer würden ME-Funktionen gerne sicher abschalten können.
Links zum Thema:
- Tipps zur Intel-ME-Sicherheitslücke SA-00075
- Intel Management Engine (ME) weitgehend abschaltbar
- Linux-Tüftler schalten Intels Management Engine aus
- Spekulationen um geheime Hintertüren in Intel-Chipsätzen
- Free Software Foundation kritisiert AMD und Intel
- BSI warnt vor Risiko bei Intels Fernwartungstechnik AMT
- Das leistet die „Management Engine“ in Intel-Chipsätzen
- Deutschen Behörden entgleitet die Kontrolle über kritische IT-Systeme
- Innovation Engine ergänzt Management Engine (ME)
- Libiquity Taurinus X200: Linux-Notebook ohne Intels Management Engine
- IBM-Power9-Workstation mit offener Firmware und Linux
- AMD Platform Security Processor (PSP)
- Coreboot-Entwickler empfehlen TPM für sicheres Booten
