Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.056 Produkten

Christof Windeck 308

Linux-Tüftler wollen Intels Management Engine abschalten Update

Linux-Tüftler wollen Intels Management Engine abschalten

Intels ME ist tief im Chipsatz beziehungsweise SoC verankert.

In Rechnern mit Intel-Prozessoren steckt die sogenannte Management Engine (ME) mit undokumentierten Funktionen; um deren verschlüsselte Firmware zu entfernen, gibt es jetzt Tools für mutige Bastler.

Der italienische Programmierer Nicola Corna hat das Tool me_cleaner entwickelt, das die proprietäre und verschlüsselte (siehe Update 2) Firmware von Intels Management Engine (ME) aus BIOS-Images entfernt. Es handelt sich dabei letztlich um ein Python-Skript, welches einige der sogenannten Firmware-Partitionen des modularen (UEFI-)BIOS schlichtweg löscht oder überschreibt. Anschließend passt me_cleaner die Firmware Partition Table (FPT) des BIOS-Images an, damit das jeweilige System den BIOS-Code überhaupt laden und damit wieder booten kann.

Anzeige

Ziel der Aktion ist es, die Ausführung der ME zu verhindern oder zumindest ihre Kommunikation und Schnittstellen zu blockieren, etwa indem der Netzwerk-Stack aus dem BIOS-Code entfernt wird. Es gibt nämlich erhebliche Bedenken gegen den undokumentieren Funktionsumfang der ME, die im Prinzip in der Lage ist, auf sämtliche Daten eines laufenden Rechners zuzugreifen.

Nicola Corna weist ausdrücklich darauf hin, dass der me_cleaner zum Totalausfall eines damit behandelten Rechners führen kann und auch sonst viele unbekannte Auswirkungen auf den PC-Betrieb möglich sind. So liegt beispielsweise auf der Hand, dass die ME-Firmware ohne Netzwerk-Stack keine Fernwartung via Ethernet mehr bieten kann.

[Update 2:] Ursprünglich stand hier, dass das Entfernen der ME-Netzwerk-Firmware auch via Ethernet per PXE blockiert, aber dieser Boot-Code hat nichts mit der ME-Firmware zu tun.

me_cleaner entfernt aber wohl auch die Basis des Protected Audio/Video Path (PAVP), was auf Windows-Rechnern DRM-Systeme aushebeln dürfte, die kommerzielle Streaming-Dienste wie Netflix oder Amazon Prime Video nutzen. Schließlich dürften auch Trusted Platform Modules nach fTPM 2.0 nicht mehr funktionieren – daran hängt möglicherweise wiederum Microsoft BitLocker. Doch für Windows-Systeme mit proprietärem Code ist die Abschaltung der ME ohnehin wenig sinnvoll.

Das BIOS-Image mit dem undokumentierten ME-Code-"Blob" ist bei Weitem nicht die einzige proprietäre Firmware in PCs.
Das BIOS-Image mit dem undokumentierten ME-Code-"Blob" ist bei Weitem nicht die einzige proprietäre Firmware in PCs.

Da der volle Funktionsumfang der ME undokumentiert ist, sind aber auch Auswirkungen auf Leistungsaufnahme und Stabilität des Rechners möglich – und die treten auch auf, wie Rückmeldungen mutiger Bastler auf der GITHub-Seite des Projekts me_cleaner belegen.

Zum Einsatz des me_cleaner ist einiges Vorwissen und spezielle Hardware nötig: Mit einem externen Programmieradapter für SPI-(NOR-)Flash-Chips muss man nämlich zunächst den BIOS-Code beziehungsweise das BIOS-Image aus dem Speicherchip des (Notebook-)Mainboards extrahieren. Dann gilt es, eine Kopie des BIOS-Image auf einem anderen System mit dem me_cleaner zu bearbeiten, um es dann wieder mit dem Programmieradapter in den Chip zu schreiben.

[Update:] Selbstverständlich kann man das BIOS-Image etwa auch aus einer passenden BIOS-Update-Datei für den jeweiligen Computer extrahieren, mit me_cleaner bearbeiten und dann mit einem Flash-Tool unter DOS, Linux oder Windows in den Chip schreiben beziehungsweise mit den in vielen BIOS-Setups eingebauten Flash-Tools. Doch manches herstellerspezifische Flash-Tool prüft das BIOS-Image vor dem Schreiben, universelle Tools funktionieren wiederum nicht auf jedem System. Und wenn der Rechner mit dem mit me_cleaner bearbeitete BIOS-Image nicht mehr bootet, braucht man doch wieder ein externes Programmiergerät.

Anzeige

Ganz offen erklärt Nicola Corna, dass es selbstverständlich keinen Beweis dafür geben kann, dass der me_cleaner die Funktion der ME sicher unterbindet. Er entwickelt me_cleaner auf der Basis neuer Erkenntnisse von Tüftlern wie Trammell Hudson und Igor Skochinsky weiter und hofft auch auf Rückmeldungen freiwilliger Tester. Auf Systemen mit Intel Boot Guard funktioniert me_cleaner nicht, weil sie die Ausführung unsignierter Firmware verhindern.

Intel Management Engine (ME)
Die ME besteht aus einem Mikrocontroller, der Bestandteil des Chipsatzes oder CPU-SoCs ist, sowie der komprimierten und verschlüsselten ME-Firmware, die mit im BIOS-Code-Image steckt. (Bild: Intel)

Letztlich ist es an Intel, endlich die Funktion und den Code der ME offenzulegen, um das angeknackste Vertrauen in die eigenen Prozessoren und Plattformen zu stärken.

[Update 3:] Die ME-Firmare ist signiert und komprimiert, aber nicht im eigentlichen Sinne verschlüsselt: Für Teile des Codes nutzt Intel herkömmliche LZMA-Kompression, für andere eine proprietäre (Huffman-)Kodierung, bei der das zugehörige Wörterbuch aber im Chipsatz gespeichert ist. Seit April 2015 gibt es dafür einen Dekomprimierer für ME-Firmware bis zur Haswell-Generation (ME-Versionen 6 bis 10). Mit Skylake (ME-Version 11) hat Intel bei der ME auf einen anderen Mikrocontroller umgesattelt als den zuvor verwendeten ARC-Kern.

Links zum Thema:

(ciw)

308 Kommentare

Themen:

Anzeige
  1. Intel Management Engine (ME) weitgehend abschaltbar

    Intel Management Engine (ME)

    Russische Sicherheitsexperten haben große Teile des Codes von Intels Management Engine ME 11 entschlüsselt und eine Möglichkeit gefunden, wesentliche Teile abzuschalten.

  2. Sicherheitslücke in vielen Intel-Systemen seit 2010

    Intel Management Engine (Intel ME)

    Die Firmware der oft kritisierten Management Engine (ME) in vielen PCs, Notebooks und Servern mit Intel-Prozessoren seit 2010 benötigt Updates, um Angriffe zu verhindern.

  3. Intel Management Engine gehackt

    Mainboard mit Intel-Chipsatz mit ME

    Sicherheitsexperten zeigten, wie sie eine Sicherheitslücke in Intels ME-Firmware nutzen, um unsignierten Code auszuführen. Die ME hat im Prinzip unbeschränkten Zugriff auf die Hardware des Systems, kann aber von Virenscannern nicht überwacht werden.

  4. Intel stopft neue Sicherheitslücken der Management Engine (SA-00086)

    Intel-Chipsatz B150

    Intels Security Advisory SA-00086 beschreibt mehrere Fehler in der Firmware der Management Engine (ME 11.0 bis 11.7), in Trusted Execution Engine 3.0 und in den Server Platform Services (SPS 4.0).

  1. Tipps zur Intel-ME-Sicherheitslücke SA-00075

    PC mit Intel-Netzwerkchip

    Am 1. Mai hat Intel eine Sicherheitslücke in der ME-Firmware vieler Desktop-PCs, Notebooks und Server gemeldet: Was Sie jetzt tun sollten.

  2. Virustotal analysiert (UEFI-)BIOS-Code

    BIOS-Analyse bei Virustotal

    Der Virenscan-Webdienst Virustotal untersucht nun auch hochgeladene Firmware-Images, beispielsweise BIOS-Updates – und liefert hochinteressante Einblicke.

  3. Linux neben Windows installieren

    Du möchtest neben Windows auch Linux nutzen, hast aber nur einen Rechner? Kein Problem, es beide laufen parallel - mit ganz wenig Aufwand.

  1. Klein und open: Daihatsus Beitrag zum Thema Fahrspaß

    „Oh Gott, der ist ja noch kleiner als ich dachte“, schießt es mir beim ersten Anblick des Daihatsu Copen „100th Anniversary“ durch den Kopf. Skeptisch beäuge ich den nur 3,39 Meter langen Japaner von allen Seiten

  2. Unterwegs im modellgepflegten Toyota Yaris Hybrid

    Hybridantrieb

    Die Überarbeitung des Hybrid-Kleinwagens von Toyota nach nur zwei Jahren gibt erneut Gelegenheit, die üblichen Klischees bezüglich Toyota-Hybridautos und ihren Fahrern zu überprüfen. Dabei wird klar: Die Modellpflege hat viel gebracht. Steckte der Antrieb in einem VW Polo, würde er sich rasant verkaufen

  3. Fahrbericht: Ford Expedition 2018

    Ford Expedition

    In den USA herrschen, was die richtige Fahrzeuggröße angeht, vielfach andere Vorstellungen als in Europa. Ein Ausflug mit dem für europäische Verhältnisse riesigen, auf dem US-Markt recht populären Ford Expedition 2018 zeigt dies eindrücklich

  4. Toyota überarbeitet seinen Luxus-Van Alphard/Vellfire

    Toyota

    Toyota kündigt in Japan die überarbeitete Neuauflage seines opulenten, sieben- bis achtsitzigen Komfort-Vans in zwei Darreichungsformen „Alphard“ und „Vellfire“ an. Neu ist ein Hybrid-Allradantrieb. Ein Fahrzeug, das uns nicht nur geographisch fern ist und uns wohl auch nicht erreichen wird

Anzeige