Intel stopft neue Sicherheitslücken der Management Engine (SA-00086)
Intels Security Advisory SA-00086 beschreibt mehrere Fehler in der Firmware der Management Engine (ME 11.0 bis 11.7), in Trusted Execution Engine 3.0 und in den Server Platform Services (SPS 4.0).
"Als Antwort auf Probleme, die externe Sicherheitsforscher identifiziert haben", führte Intel nach eigenen Angaben ausführliche und umfassende Sicherheitsanalysen der Intel Management Engine (ME), der Server Platform Services (SPS) sowie der Trusted Execution Engine (TXE) durch – und stieß dabei auf einige Sicherheitslücken in der jeweiligen Firmware. Die gefundenen Probleme bewertet Intel als "wichtig" und gab das als "kritisch" eingestufte Security Advisory SA-00086 heraus.
Updates von Geräteherstellern
Updates sollen die jeweiligen Hardware-Hersteller bereitstellen, also die Produzenten von Desktop-PCs, Servern, Notebooks, Mainboards und Embedded Systems mit den betroffenen Intel-Prozessoren und Intel-Chipsätzen.
Als erste Firmen haben Fujitsu und Lenovo (Lenovo Security Advisory LEN-17297) reagiert und Webseiten mit Produktlisten und Links zu Updates freigeschaltet.
[Update:] Liste der bisher bekannten Hersteller-Webseiten zu SA-00086
- Cisco
- Dell: Client, Server
- Fujitsu
- Gigabyte
- HP (laut diesem Forumseintrag gibt es für manche Systeme wie die Workstation HP Z240 bereits ein Update auf die ME-Firmware 11.8.50.3399 ohne die erwähnten Bugs)
- HPE
- Intel NUC, Compute Stick, Compute Card
- Lenovo
- Thomas Krenn
- Shuttle stellt bereits BIOS-Updates für erste Systeme wie den XPC Slim XH270 bereit, weitere finden sich über die Download-Seite
[Update 23.11.17:]
[Update 24.11.17:]
- Asus stellt für einige betroffene Mainboards wie das PRIME H270-PLUS nun ein "MEUpdate Tool" bereit. Es bringt die ME-Firmware auf eine Version 11.8.x.
- ASRock
- erste Patches für Supermicro-Boards bei Thomas Krenn
[Update 27.11.17:]
- Hinweise und Patches bei Quanta Cloud Technology (Quanta QCT)
[Update 30.11.17:]
[Update 1.12.17:]
[Update 12.12.17:]
- Microsoft erwartet bei Surface-Geräten keine Gefahr durch SA-00086
- Supermicro hat BIOS-Updates für einige Boards
- EVGA
Noch keine Informationen zu SA-00086 konnten wir bei den Firmen Biostar, Inspur, Tyan finden. [/Update]
Betroffene Intel-Produkte
Die Firmware-Schwachstellen betreffen sehr viele Intel-Produkte aus den vergangenen zwei Jahren, also seit Skylake (Core i3/i5/i7-6000, 2015). Außer der sechsten Core-i-Generation trifft es auch die siebte und achte (Core i-7000/Kaby Lake, Core i-8000, Coffee Lake) sowie die damit jeweils verwandten Celeron G, Pentium (Gold) G, Xeon E3-1200v5 und Xeon E3-1200v6 mit Management Engine ME 11.0 bis ME 11.7.
Die Trusted Execution Engine TXE 3.0 wiederum steckt in den Apollo-Lake-Chips der Familien Atom E3900, Celeron N3x50, Celeron J3x55, Pentium N4200, Pentium J4205.
Mit Server Platform Services SPS 4.0 sind die aktuellen Xeon Scalable Processors (Xeon-SP) und die damit verwandten Xeon W ausgestattet, also Skylake-SP und Skylake-W.
Für die Betriebssysteme Linux und Windows stellt Intel das Intel-SA-00086 Detection Tool bereit.
CVE-Nummern
Die einzelnen Sicherheitslücken sind auch CVE-Codes zugeordnet (Common Vulnerabilities and Exposures): CVE-2017-5705, CVE-2017-5708, CVE-2017-5711 und CVE-2017-5712.
Mit SA-00086 muss Intel in diesem Jahr schon zum zweiten Mal kritische Lücken in der Management Engine patchen; im Mai war SA-00075 erschienen. Das grundlegende Konzept der Intel ME steht seit geraumer Zeit in der Kritik unter anderem von Sicherheitsexperten und von Google. (ciw)