Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Christof Windeck 87

Intel-Computer: BSI warnt vor Sicherheitslücke, Updates teils spät

Intel-Chipsatz B150

Intel-Chipsatz B150

Auch das Bundesamt für Sicherheit in der Informationstechnik warnt vor dem Firmware-Risiko in vielen Desktop-PCs, Notebooks und Servern, aber manche Hersteller reagieren langsam.

"Mehrere Schwachstellen ermöglichen die komplette Systemübernahme": Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun die Warnmeldung CB-K17/2012 zu Intels Security Advisory Intel SA-00086 herausgegeben. Das BSI stuft die Sicherheitslücke in vielen seit 2015 ausgelieferten Desktop-PCs, Notebooks, Tablets, Embedded Systems und Servern mit Intel-Prozessoren als "Risikostufe 4: Hoch" ein. Einige der Lücken lassen sich wohl auch aus der Ferne für Angriffe nutzen (Remoteangriff).

Anzeige

Es ist also ratsam, betroffene Systeme zu identifizieren (Tipps dazu in unserer Meldung vom 22.11.2017) und dann ein Update einzuspielen. Je nach System betrifft das die Firmware der Management Engine (Intel ME), der Server Platform Services (SPS) oder der Trusted Execution Engine (TXE, nicht Trusted Execution Technology TXT).

Bei einigen Rechnern ist für das Firmware-Update ein BIOS-Update nötig, bei anderen lässt sich der jeweils betroffene Firmware-Teil separat patchen. Das Update muss vom jeweiligen Hersteller des PCs, Notebooks, Servers, Mainboards bereitgestellt werden; Updates aus anderen Quellen sind nicht ratsam, schon gar nicht bei sicherheitskritischen Komponenten.

Die Update-Prozedur fällt bei manchen Servern etwas kompliziert aus. HPE erklärt beispielsweise für ProLiant DL20 Gen9, ProLiant ML30 Gen9 und ProLiant Gen10 mit Xeon-SP, dass man zuerst das System ROM auf Version 1.26 (oder höher) updaten muss, dann die Innovation Engine auf mindestens 0.1.4.4. und erst dann die SPS-Firmware auf 04.00.04.288.

Intel NUC Patch für SA-00086
Lücke jetzt, Bugfix später: Intel will BIOS-Updates gegen SA-00086 im Dezember liefern.

Offenbar hat Intel die Hersteller schon vor der Veröffentlichung des SA-00086 informiert. Firmen wie Fujitsu und Shuttle stellen bereits BIOS-Updates für viele betroffene Rechner bereit. Andere Firmen haben immerhin bereits Info-Webseiten freigeschaltet. Intel selbst will erst im Dezember Updates für betroffene Mini-PCs der Serie NUC liefern. Andere wie Acer nennen noch keine Termine. Und manche Firmen haben noch gar nicht reagiert – ähnlich wie bei der AMT-Lücke SA-00075 im Mai.

Das zeigt, dass mehrere Hardware-Hersteller unzureichend auf die Behebung kritischer Firmware-Probleme vorbereitet sind. Manchen fällt auch die unzureichende Dokumentation ihrer (UEFI-)BIOS- und Firmware-Updates auf die Füße: Dann ist nicht zu erkennen, welche Patches ein Update enthält.

Intel bedankt sich im SA-00086 ausdrücklich bei Mark Ermolov und Maxim Goryachy von Positive Technologies Research. Die beiden Experten hatten im September gemeldet, die ME ausgehebelt zu haben und im November einen JTAG-Zugang zur ME-Firmware per USB 3.0 gefunden.

Details folgen im Vortrag "How to hack a turned-off Computer, or running sunsigned Code in Intel Management Engine" am 6. Dezember auf der Black Hat Europe 2017. Vermutlich hat Intel das SA-00086 deshalb jetzt veröffentlicht.

Anzeige

Wer die Funktion der Managament Engine mit Firmware-Hacks wie dem ME_cleaner weitgehend stilllegen will, sollte die jetzt veröffentlichten BIOS-Updates zunächst meiden: Es ist denkbar, dass Intel im Zuge der Beseitigung der aktuellen Sicherheitslücken auch Code anpasst, der die Funktion des ME_cleaners und anderer ME-Hacks wie dem Setzen des HAP-Bit blockiert.

Allerdings dürften Systeme, bei denen die ME gar nicht erst funktioniert, kaum von den aktuellen Sicherheitslücken betroffen sein. (ciw)

87 Kommentare

Themen:

Anzeige
  1. Intel stopft neue Sicherheitslücken der Management Engine (SA-00086)

    Intel-Chipsatz B150

    Intels Security Advisory SA-00086 beschreibt mehrere Fehler in der Firmware der Management Engine (ME 11.0 bis 11.7), in Trusted Execution Engine 3.0 und in den Server Platform Services (SPS 4.0).

  2. Intel Management Engine gehackt

    Mainboard mit Intel-Chipsatz mit ME

    Sicherheitsexperten zeigten, wie sie eine Sicherheitslücke in Intels ME-Firmware nutzen, um unsignierten Code auszuführen. Die ME hat im Prinzip unbeschränkten Zugriff auf die Hardware des Systems, kann aber von Virenscannern nicht überwacht werden.

  3. Sicherheitslücke in vielen Intel-Systemen seit 2010

    Intel Management Engine (Intel ME)

    Die Firmware der oft kritisierten Management Engine (ME) in vielen PCs, Notebooks und Servern mit Intel-Prozessoren seit 2010 benötigt Updates, um Angriffe zu verhindern.

  4. Intels ME-Sicherheitslücke: Tipps und Links

    Intel Active Management Technology

    Praxistipps zu der am 1. Mai von Intel gemeldeten Sicherheitslücke in der Firmware der Management Engine vieler Desktop-PCs, Server und Notebooks.

  1. Tipps zur Intel-ME-Sicherheitslücke SA-00075

    PC mit Intel-Netzwerkchip

    Am 1. Mai hat Intel eine Sicherheitslücke in der ME-Firmware vieler Desktop-PCs, Notebooks und Server gemeldet: Was Sie jetzt tun sollten.

  2. Der optimale PC 2017

    Der optimale PC 2017

    Möchten Sie einen effizienten Allrounder, eine günstige Gaming-Maschine oder einen luxuriösen High-End-PC? Anhand unserer Bauvorschläge in c't 26/2017 können Sie sich Ihren Rechner maßschneidern.

  3. Sicherheitslücken graphisch sichtbar machen

    Sicherheitslücken graphisch sichtbar machen

    Bonner Informatiker haben ein Analysetool entwickelt, mit dem sich Sicherheitslücken in Routern und Smart-Home-Geräten ermitteln lassen. Sie setzen dabei auf die graphische Darstellung von Maschinensprache.

  1. Google veröffentlicht 3 Fotos-Apps: Storyboard, Selfissimo und Scrubbies

    Google veröffentlicht Fotos-Apps: Storyboard, Selfissimo und Scrubbies

    Google hat drei experimentelle Fotos-Apps für Android und iOS veröffentlicht. Die "Appsperiments" nutzen Techniken, an denen Google derzeit forscht. Bei allen Apps steht der Spaß im Vordergrund.

  2. Q#: Microsofts Development Kit für Quantencomputing mit eigener Programmiersprache und Simulator

    Q#: Microsoft stellt Preview seines Development Kit für Quantencomputing vor

    Mit der neuen, in Visual Studio integrierten Programmiersprache Q# will Microsoft Entwicklern die Programmierung von Quantencomputern vereinfachen. Die Preview des Quantum Development Kit steht ab sofort zur Verfügung.

  3. Im Test: Honda Civic 1.0 VTEC Turbo CVT

    Honda Civic 1.0 VTEC Turbo CVT

    Seit ein paar Monaten gibt es die zehnte Generation des Honda Civic auch hierzulande. Ein Test mit dem Basismodell zeigt, dass Honda der eigenwilligen Gestaltung der beiden Vorgänger weitgehend treu geblieben ist. Doch an mindestens einem Punkt muss nachgebessert werden

  4. Diversifikation: Aston Martin Project Neptune & Valkyrie

    Aston Martin designt ein U-Boot von Triton. Die technische Basis heißt 1650/3 LP und soll bis zu 500 Meter tief tauchen können. Inspiriert hat die Gestalter der Aston Martin Valkyrie, ein in seiner Gestaltung eigenwilliges Hypercar mit 1000 PS aus einem V12-Mittelmotor

Anzeige