Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.396 Produkten

Christof Windeck 308

Linux-Tüftler wollen Intels Management Engine abschalten Update

Linux-Tüftler wollen Intels Management Engine abschalten

Intels ME ist tief im Chipsatz beziehungsweise SoC verankert.

In Rechnern mit Intel-Prozessoren steckt die sogenannte Management Engine (ME) mit undokumentierten Funktionen; um deren verschlüsselte Firmware zu entfernen, gibt es jetzt Tools für mutige Bastler.

Der italienische Programmierer Nicola Corna hat das Tool me_cleaner entwickelt, das die proprietäre und verschlüsselte (siehe Update 2) Firmware von Intels Management Engine (ME) aus BIOS-Images entfernt. Es handelt sich dabei letztlich um ein Python-Skript, welches einige der sogenannten Firmware-Partitionen des modularen (UEFI-)BIOS schlichtweg löscht oder überschreibt. Anschließend passt me_cleaner die Firmware Partition Table (FPT) des BIOS-Images an, damit das jeweilige System den BIOS-Code überhaupt laden und damit wieder booten kann.

Anzeige

Ziel der Aktion ist es, die Ausführung der ME zu verhindern oder zumindest ihre Kommunikation und Schnittstellen zu blockieren, etwa indem der Netzwerk-Stack aus dem BIOS-Code entfernt wird. Es gibt nämlich erhebliche Bedenken gegen den undokumentieren Funktionsumfang der ME, die im Prinzip in der Lage ist, auf sämtliche Daten eines laufenden Rechners zuzugreifen.

Nicola Corna weist ausdrücklich darauf hin, dass der me_cleaner zum Totalausfall eines damit behandelten Rechners führen kann und auch sonst viele unbekannte Auswirkungen auf den PC-Betrieb möglich sind. So liegt beispielsweise auf der Hand, dass die ME-Firmware ohne Netzwerk-Stack keine Fernwartung via Ethernet mehr bieten kann.

[Update 2:] Ursprünglich stand hier, dass das Entfernen der ME-Netzwerk-Firmware auch via Ethernet per PXE blockiert, aber dieser Boot-Code hat nichts mit der ME-Firmware zu tun.

me_cleaner entfernt aber wohl auch die Basis des Protected Audio/Video Path (PAVP), was auf Windows-Rechnern DRM-Systeme aushebeln dürfte, die kommerzielle Streaming-Dienste wie Netflix oder Amazon Prime Video nutzen. Schließlich dürften auch Trusted Platform Modules nach fTPM 2.0 nicht mehr funktionieren – daran hängt möglicherweise wiederum Microsoft BitLocker. Doch für Windows-Systeme mit proprietärem Code ist die Abschaltung der ME ohnehin wenig sinnvoll.

Das BIOS-Image mit dem undokumentierten ME-Code-"Blob" ist bei Weitem nicht die einzige proprietäre Firmware in PCs.

Da der volle Funktionsumfang der ME undokumentiert ist, sind aber auch Auswirkungen auf Leistungsaufnahme und Stabilität des Rechners möglich – und die treten auch auf, wie Rückmeldungen mutiger Bastler auf der GITHub-Seite des Projekts me_cleaner belegen.

Zum Einsatz des me_cleaner ist einiges Vorwissen und spezielle Hardware nötig: Mit einem externen Programmieradapter für SPI-(NOR-)Flash-Chips muss man nämlich zunächst den BIOS-Code beziehungsweise das BIOS-Image aus dem Speicherchip des (Notebook-)Mainboards extrahieren. Dann gilt es, eine Kopie des BIOS-Image auf einem anderen System mit dem me_cleaner zu bearbeiten, um es dann wieder mit dem Programmieradapter in den Chip zu schreiben.

[Update:] Selbstverständlich kann man das BIOS-Image etwa auch aus einer passenden BIOS-Update-Datei für den jeweiligen Computer extrahieren, mit me_cleaner bearbeiten und dann mit einem Flash-Tool unter DOS, Linux oder Windows in den Chip schreiben beziehungsweise mit den in vielen BIOS-Setups eingebauten Flash-Tools. Doch manches herstellerspezifische Flash-Tool prüft das BIOS-Image vor dem Schreiben, universelle Tools funktionieren wiederum nicht auf jedem System. Und wenn der Rechner mit dem mit me_cleaner bearbeitete BIOS-Image nicht mehr bootet, braucht man doch wieder ein externes Programmiergerät.

Anzeige

Ganz offen erklärt Nicola Corna, dass es selbstverständlich keinen Beweis dafür geben kann, dass der me_cleaner die Funktion der ME sicher unterbindet. Er entwickelt me_cleaner auf der Basis neuer Erkenntnisse von Tüftlern wie Trammell Hudson und Igor Skochinsky weiter und hofft auch auf Rückmeldungen freiwilliger Tester. Auf Systemen mit Intel Boot Guard funktioniert me_cleaner nicht, weil sie die Ausführung unsignierter Firmware verhindern.

Die ME besteht aus einem Mikrocontroller, der Bestandteil des Chipsatzes oder CPU-SoCs ist, sowie der komprimierten und verschlüsselten ME-Firmware, die mit im BIOS-Code-Image steckt. (Bild: Intel)

Letztlich ist es an Intel, endlich die Funktion und den Code der ME offenzulegen, um das angeknackste Vertrauen in die eigenen Prozessoren und Plattformen zu stärken.

[Update 3:] Die ME-Firmare ist signiert und komprimiert, aber nicht im eigentlichen Sinne verschlüsselt: Für Teile des Codes nutzt Intel herkömmliche LZMA-Kompression, für andere eine proprietäre (Huffman-)Kodierung, bei der das zugehörige Wörterbuch aber im Chipsatz gespeichert ist. Seit April 2015 gibt es dafür einen Dekomprimierer für ME-Firmware bis zur Haswell-Generation (ME-Versionen 6 bis 10). Mit Skylake (ME-Version 11) hat Intel bei der ME auf einen anderen Mikrocontroller umgesattelt als den zuvor verwendeten ARC-Kern.

Links zum Thema:

(ciw)

308 Kommentare

Themen:

Anzeige
  1. Intel Management Engine (ME) weitgehend abschaltbar

    Intel Management Engine (ME)

    Russische Sicherheitsexperten haben große Teile des Codes von Intels Management Engine ME 11 entschlüsselt und eine Möglichkeit gefunden, wesentliche Teile abzuschalten.

  2. Intel stopft neue Sicherheitslücken der Management Engine (SA-00086)

    Intel-Chipsatz B150

    Intels Security Advisory SA-00086 beschreibt mehrere Fehler in der Firmware der Management Engine (ME 11.0 bis 11.7), in Trusted Execution Engine 3.0 und in den Server Platform Services (SPS 4.0).

  3. Sicherheitslücke in vielen Intel-Systemen seit 2010

    Intel Management Engine (Intel ME)

    Die Firmware der oft kritisierten Management Engine (ME) in vielen PCs, Notebooks und Servern mit Intel-Prozessoren seit 2010 benötigt Updates, um Angriffe zu verhindern.

  4. Intel Management Engine gehackt

    Mainboard mit Intel-Chipsatz mit ME

    Sicherheitsexperten zeigten, wie sie eine Sicherheitslücke in Intels ME-Firmware nutzen, um unsignierten Code auszuführen. Die ME hat im Prinzip unbeschränkten Zugriff auf die Hardware des Systems, kann aber von Virenscannern nicht überwacht werden.

  1. Tipps zur Intel-ME-Sicherheitslücke SA-00075

    PC mit Intel-Netzwerkchip

    Am 1. Mai hat Intel eine Sicherheitslücke in der ME-Firmware vieler Desktop-PCs, Notebooks und Server gemeldet: Was Sie jetzt tun sollten.

  2. BIOS-Update - so funktioniert's

    Das BIOS oder UEFI wird von Windows nicht mit aktualisiert. Ein manuelles Update ist aber ganz einfach.

  3. Linux neben Windows installieren

    Sie möchten neben Windows auch Linux nutzen, haben aber nur einen Rechner? Kein Problem, es beide laufen parallel - mit ganz wenig Aufwand.

  1. Vorstellung: Hyundai i20 Facelift

    Hyundai i20 Facelift

    Es wird vermutlich nicht die letzte Angebotsbeschneidung sein, die Diesel-Interessenten hinnehmen müssen. Hyundai überarbeitet den Kleinwagen i20 und nimmt das als Anlass, die beiden Selbstzünder mit 75 und 90 PS aus dem Sortiment zu nehmen

  2. Alpina B7 Biturbo: Vor der Basis

    Alpina

    Der neue Alpina B7 Biturbo kommt vor dem ähnlich kräftigen BMW 760Li auf den Markt, setzt aber andere Akzente. Schon die Maschine unterscheidet sich: Alpina setzt auf einen Achtzylinder, BMW baut einen Zwölfzylinder ein

  3. Trump und Macron: Gegen die Hegemonie Irans den Nahen Osten neu ordnen

    Macron will nun auch die Atomvereinbarung mit Iran mit zusätzlichen Regelungen ergänzen. Dazu soll auch die "Präsenz Irans in der Region" verhandelt werden

  4. Mit aller Härte des Gesetzes gegen Antisemitismus?

    Wie Deutschland den Antisemitismus austreiben will und auch Linke und Liberale einen auf "Law and Order" machen. Kommentar

Anzeige