Intel-Prozessoren: Management Engine (ME) über Netzwerk angreifbar

Intel hat Schwachstellen in seiner Management Engine (ME) gefunden, die es in sich haben: Durch eine davon kann ein Angreifer im gleichen Netz beliebigen Code zur Ausführung bringen. Es handelt sich um einen ausnutzbaren Pufferüberlauf in der Converged Security Manageability Engine, der beim Verarbeiten von HTTP-Anfragen auftritt (CVE-2018-3628): Eine Pufferüberlauf im Event Handler erlaubt es Angreifern zudem, eine Denial-of-Service-Attacke aus dem gleichen Netz zu fahren (CVE-2018-3629). Die dritte Schwachstelle ist ein weniger brisanter Speicherfehler (CVE-2018-3632).

Die Mangement Engine ist ein kritischer Bereich des Systems, da sie im Prinzip uneingeschränkten Zugriff auf die Hardware hat. Würde sich darin ein Schädling verankern, könnte ihm kein Virenscanner etwas anhaben – auch eine Neuinstallation des Betriebssystems oder ein Austausch von Datenträgern würde den Schadcode nicht entfernen. In der ME werden immer wieder Sicherheitslücken wie die aktuellen Schwachstellen entdeckt, so etwa im Juni und im November vergangenen Jahres.

Betroffene Prozessoren

Betroffen ist die Intel Active Management Technology in den Versionen 3.x bis 11.x. Laut Intel kann man diese im Controller der folgenden Produkten finden:

• Intel Core 2 Duo vPro
• Intel Centrino 2 vPro
• Intel Core der ersten bis achten Generation
• Intel Xeon E3-1200 v5 & v6 (Greenlow)
• Intel Xeon Scalable (Purley)
  
• Intel Xeon W (Basin Falls)
  

Darüber hinaus meldet Intel den Fund eines Logikfehlers, durch die ein lokaler Admin beliebigen Code ausführen kann (CVE-2018-3627). Diese Lücke klafft in der Core-Familie ab der sechsten Generation, Xeon E3-1200 v5 & v6 sowie Xeon W.

Die Schwachstellen betreffen vor allem Bürocomputer und Business-Notebooks mit aktivierten Fernwartungsfunktionen, die von professionellen Administratoren betreut werden. Doch die betroffenen Chipsätze und Prozessoren kommen auch in privat genutzten Rechnern sowie in kleinen Servern zum Einsatz.

Keine Gnade für alte Chips

Weitere Details zu den Lücken sind bisher nicht bekannt. Der Chiphersteller hat die Schwachstellen nach eigenen Angaben selbst entdeckt. Für Abhilfe sorgen Firmware-Updates, die es für alle Modelle geben soll, die der Hersteller noch unterstützt – außen vor sind Core 2 Duo vPro, Centrino 2 vPro sowie die Core-Generationen bis einschließlich der dritten Generation. Die Versionsnummern der abgesicherten Firmware finden sich in den Advisores mit den IDs INTEL-SA-00112 und INTEL-SA-00118.

Bis man das passende Firmware-Update installieren kann, könnte etwas Zeit ins Land gehen: Intel verteilt die Updates nicht an Endverbraucher, sondern an seine Hardware-Partner. Man muss also abwarten, bis die Hersteller von Mainboards, PCs, Notebooks, Servern und Co. die Updates für ihre Kunden freigeben. Ausgenommen davon sind lediglich die Intel-eigenen Systeme wie die NUC-Reihe oder der Compute Stick.

Update vom 20.07.18, 19 Uhr: Ob die eigenen CPUs betroffen sind, findet man anhand der Modellbezeichnung heraus, die Windows 10 etwa nach einer Startmenü-Suche nach "Systeminformationen" ausgibt. Die Core-Generation erkennt man an der ersten Ziffer nach der der Leitungsklasse (i3/i5/i7/i9). Ein Core-i5-6500 etwa gehört der sechsten Generation an. Ist die Ziffernfolge dreistellig, handelt es sich um die erste Generation. Detaillierte Erläuterungen hierzu finden Sie bei Intel. (rei)