Einige Tage nach Veröffentlichung der Sicherheitslücke TPM-Fail sind nun von mehreren Herstellern betroffener Systeme Informationen und teils auch BIOS- beziehungsweise Firmware-Updates verfügbar. Bei Rechnern mit Intels fTPM 2.0 kommt Abhilfe in Form von BIOS-Updates, für Systeme mit dem ST-TPM ST33TPHF2ESPI oder ST33TPHF2EI2C gibt es Firmware-Update-Tools.
Anzeige
Intel-Tool für Windows und Linux
Intel bietet eine aktualisierte Version des "Intel CSME Version Detection Tool" an, und zwar in je einer Version für Windows (Server) und Linux. Das CSME-Tool überprüft die Versionsnummer der auf dem jeweiligen Rechner laufenden Firmware der "Converged Security and Management Engine" (CSME), die früher als Management Engine (ME) bekannt war.
In dieser Firmware wiederum steckt auch der Code des Firmware Trusted Platform Module 2.0 (fTPM 2.0), dessen ältere Versionen die Schwachstelle TPM-Fail enthalten: Durch eine Timing-Attacke lässt sich der geheime Schlüssel für den Elliptic Curve Digital Signature Algorithm (ECDSA) auslesen (CVE-2019-11090, Intel Security Advisory SA-00241). Kritisch ist diese Sicherheitslücke nur, wenn Software tatsächlich das TPM für ECDSA nutzt.
CSME 2.0.6.0 ausprobiert
Wir haben die aktuelle Version 2.0.6.0 des CSME Tool auf einem älteren Mini-PC von Intel ausprobiert, dem NUC6CAYH (Arches Canyon) mit Celeron J3455 (Apollo Lake). Dort meldet CSME 2.0.6.0 "dieses System hat Sicherheitslücken" und die Version der Trusted Execution Engine (TXE) 3.0.13.1144. Laut Intel-SA-00241 sind bei dieser TXE-Hauptversion 3.x erst die Versionen ab 3.1.65 frei von TPM-Fail.
Welche Version der "ME-Firmware" im jeweiligen BIOS-Update steckt, muss man in den BIOS Release Notes selbst nachschauen.
Für unseren NUC6CAYH steht als jüngstes BIOS-Update derzeit die Version 0064 vom 10. September 2019 bereit, die laut Release Notes aber nur die "ME Firmware: 3.1.60.2280" enthält und nicht etwa die nötige 3.1.65.xxxx.
Für die NUC-7-Familie mit Core-i-7000-CPUs hat Intel hingegen schon das BIOS-Update 0067 mit TPM-Fail-Update auf dem Server, hier ist eine (CS)ME-Firmware ab 11.8.65 nötig und im 0067er-BIOS steckt die ME-Firmware 11.8.65.3590.
Für die NUC-8-Baureihe wiederum findet sich heute erst die BIOS-Version 0075 mit der ME-Firmware 12.0.32.1421, Schutz bringt bei Core i-8000 erst die ME-Version 12.0.35.
Auf einem älteren System mit Core i7-4770 wiederum meldet CSME 2.0.6.0, das System "wird nicht unterstützt". Hier ist noch kein fTPM 2.0 vorhanden.
Info-Wirrwarr
Für weniger erfahrene Besitzer eines Desktop-PCs, Notebooks, Tablets oder Servers mit Intel-Prozessor ist es sehr schwierig, passende BIOS-Update zu finden. Schwer zu durchdringen ist auch Intels Informationsgewirr: Man muss schon wissen, dass die fTPM-Firmware jeweils in der ME- beziehungsweise CSME-Firmware steckt und dazu je nach CPU-Typ mal als Teil von Platform Trust Technology (PTT, Core i und verwandte Celerons/Pentiums Gold/Xeons), von Server Platform Services (SPS, "größere" Xeons) oder auch von Trusted Execution Engine (TXE, Atoms, "Atom-Celerons" und Pentium Silver) bezeichnet wird.
Die Liste der BIOS-Updates für Supermicro-Mainboards ist lang.