Intel-Computer: BSI warnt vor Sicherheitslücke, Updates teils spät
Auch das Bundesamt für Sicherheit in der Informationstechnik warnt vor dem Firmware-Risiko in vielen Desktop-PCs, Notebooks und Servern, aber manche Hersteller reagieren langsam.
Intel-Chipsatz B150
"Mehrere Schwachstellen ermöglichen die komplette Systemübernahme": Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun die Warnmeldung CB-K17/2012 zu Intels Security Advisory Intel SA-00086 herausgegeben. Das BSI stuft die Sicherheitslücke in vielen seit 2015 ausgelieferten Desktop-PCs, Notebooks, Tablets, Embedded Systems und Servern mit Intel-Prozessoren als "Risikostufe 4: Hoch" ein. Einige der Lücken lassen sich wohl auch aus der Ferne für Angriffe nutzen (Remoteangriff).
Es ist also ratsam, betroffene Systeme zu identifizieren (Tipps dazu in unserer Meldung vom 22.11.2017) und dann ein Update einzuspielen. Je nach System betrifft das die Firmware der Management Engine (Intel ME), der Server Platform Services (SPS) oder der Trusted Execution Engine (TXE, nicht Trusted Execution Technology TXT).
Update-Methoden
Bei einigen Rechnern ist für das Firmware-Update ein BIOS-Update nötig, bei anderen lässt sich der jeweils betroffene Firmware-Teil separat patchen. Das Update muss vom jeweiligen Hersteller des PCs, Notebooks, Servers, Mainboards bereitgestellt werden; Updates aus anderen Quellen sind nicht ratsam, schon gar nicht bei sicherheitskritischen Komponenten.
Die Update-Prozedur fällt bei manchen Servern etwas kompliziert aus. HPE erklärt beispielsweise für ProLiant DL20 Gen9, ProLiant ML30 Gen9 und ProLiant Gen10 mit Xeon-SP, dass man zuerst das System ROM auf Version 1.26 (oder höher) updaten muss, dann die Innovation Engine auf mindestens 0.1.4.4. und erst dann die SPS-Firmware auf 04.00.04.288.
Manche früher, andere später
Offenbar hat Intel die Hersteller schon vor der Veröffentlichung des SA-00086 informiert. Firmen wie Fujitsu und Shuttle stellen bereits BIOS-Updates für viele betroffene Rechner bereit. Andere Firmen haben immerhin bereits Info-Webseiten freigeschaltet. Intel selbst will erst im Dezember Updates für betroffene Mini-PCs der Serie NUC liefern. Andere wie Acer nennen noch keine Termine. Und manche Firmen haben noch gar nicht reagiert – ähnlich wie bei der AMT-Lücke SA-00075 im Mai.
Das zeigt, dass mehrere Hardware-Hersteller unzureichend auf die Behebung kritischer Firmware-Probleme vorbereitet sind. Manchen fällt auch die unzureichende Dokumentation ihrer (UEFI-)BIOS- und Firmware-Updates auf die Füße: Dann ist nicht zu erkennen, welche Patches ein Update enthält.
Black-Hat-Vorbereitung
Intel bedankt sich im SA-00086 ausdrücklich bei Mark Ermolov und Maxim Goryachy von Positive Technologies Research. Die beiden Experten hatten im September gemeldet, die ME ausgehebelt zu haben und im November einen JTAG-Zugang zur ME-Firmware per USB 3.0 gefunden.
Details folgen im Vortrag "How to hack a turned-off Computer, or running sunsigned Code in Intel Management Engine" am 6. Dezember auf der Black Hat Europe 2017. Vermutlich hat Intel das SA-00086 deshalb jetzt veröffentlicht.
ME_cleaner betroffen?
Wer die Funktion der Managament Engine mit Firmware-Hacks wie dem ME_cleaner weitgehend stilllegen will, sollte die jetzt veröffentlichten BIOS-Updates zunächst meiden: Es ist denkbar, dass Intel im Zuge der Beseitigung der aktuellen Sicherheitslücken auch Code anpasst, der die Funktion des ME_cleaners und anderer ME-Hacks wie dem Setzen des HAP-Bit blockiert.
Allerdings dürften Systeme, bei denen die ME gar nicht erst funktioniert, kaum von den aktuellen Sicherheitslücken betroffen sein. (ciw)
