Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.702.856 Produkten

Christof Windeck 87

Intel-Computer: BSI warnt vor Sicherheitslücke, Updates teils spät

Intel-Chipsatz B150

Intel-Chipsatz B150

Auch das Bundesamt für Sicherheit in der Informationstechnik warnt vor dem Firmware-Risiko in vielen Desktop-PCs, Notebooks und Servern, aber manche Hersteller reagieren langsam.

"Mehrere Schwachstellen ermöglichen die komplette Systemübernahme": Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun die Warnmeldung CB-K17/2012 zu Intels Security Advisory Intel SA-00086 herausgegeben. Das BSI stuft die Sicherheitslücke in vielen seit 2015 ausgelieferten Desktop-PCs, Notebooks, Tablets, Embedded Systems und Servern mit Intel-Prozessoren als "Risikostufe 4: Hoch" ein. Einige der Lücken lassen sich wohl auch aus der Ferne für Angriffe nutzen (Remoteangriff).

Anzeige

Es ist also ratsam, betroffene Systeme zu identifizieren (Tipps dazu in unserer Meldung vom 22.11.2017) und dann ein Update einzuspielen. Je nach System betrifft das die Firmware der Management Engine (Intel ME), der Server Platform Services (SPS) oder der Trusted Execution Engine (TXE, nicht Trusted Execution Technology TXT).

Bei einigen Rechnern ist für das Firmware-Update ein BIOS-Update nötig, bei anderen lässt sich der jeweils betroffene Firmware-Teil separat patchen. Das Update muss vom jeweiligen Hersteller des PCs, Notebooks, Servers, Mainboards bereitgestellt werden; Updates aus anderen Quellen sind nicht ratsam, schon gar nicht bei sicherheitskritischen Komponenten.

Die Update-Prozedur fällt bei manchen Servern etwas kompliziert aus. HPE erklärt beispielsweise für ProLiant DL20 Gen9, ProLiant ML30 Gen9 und ProLiant Gen10 mit Xeon-SP, dass man zuerst das System ROM auf Version 1.26 (oder höher) updaten muss, dann die Innovation Engine auf mindestens 0.1.4.4. und erst dann die SPS-Firmware auf 04.00.04.288.

Intel NUC Patch für SA-00086
Lücke jetzt, Bugfix später: Intel will BIOS-Updates gegen SA-00086 im Dezember liefern.

Offenbar hat Intel die Hersteller schon vor der Veröffentlichung des SA-00086 informiert. Firmen wie Fujitsu und Shuttle stellen bereits BIOS-Updates für viele betroffene Rechner bereit. Andere Firmen haben immerhin bereits Info-Webseiten freigeschaltet. Intel selbst will erst im Dezember Updates für betroffene Mini-PCs der Serie NUC liefern. Andere wie Acer nennen noch keine Termine. Und manche Firmen haben noch gar nicht reagiert – ähnlich wie bei der AMT-Lücke SA-00075 im Mai.

Das zeigt, dass mehrere Hardware-Hersteller unzureichend auf die Behebung kritischer Firmware-Probleme vorbereitet sind. Manchen fällt auch die unzureichende Dokumentation ihrer (UEFI-)BIOS- und Firmware-Updates auf die Füße: Dann ist nicht zu erkennen, welche Patches ein Update enthält.

Intel bedankt sich im SA-00086 ausdrücklich bei Mark Ermolov und Maxim Goryachy von Positive Technologies Research. Die beiden Experten hatten im September gemeldet, die ME ausgehebelt zu haben und im November einen JTAG-Zugang zur ME-Firmware per USB 3.0 gefunden.

Details folgen im Vortrag "How to hack a turned-off Computer, or running sunsigned Code in Intel Management Engine" am 6. Dezember auf der Black Hat Europe 2017. Vermutlich hat Intel das SA-00086 deshalb jetzt veröffentlicht.

Anzeige

Wer die Funktion der Managament Engine mit Firmware-Hacks wie dem ME_cleaner weitgehend stilllegen will, sollte die jetzt veröffentlichten BIOS-Updates zunächst meiden: Es ist denkbar, dass Intel im Zuge der Beseitigung der aktuellen Sicherheitslücken auch Code anpasst, der die Funktion des ME_cleaners und anderer ME-Hacks wie dem Setzen des HAP-Bit blockiert.

Allerdings dürften Systeme, bei denen die ME gar nicht erst funktioniert, kaum von den aktuellen Sicherheitslücken betroffen sein. (ciw)

87 Kommentare

Themen:

Anzeige
  1. Intel stopft neue Sicherheitslücken der Management Engine (SA-00086)

    Intel-Chipsatz B150

    Intels Security Advisory SA-00086 beschreibt mehrere Fehler in der Firmware der Management Engine (ME 11.0 bis 11.7), in Trusted Execution Engine 3.0 und in den Server Platform Services (SPS 4.0).

  2. Intels ME-Sicherheitslücke: Tipps und Links

    Intel Active Management Technology

    Praxistipps zu der am 1. Mai von Intel gemeldeten Sicherheitslücke in der Firmware der Management Engine vieler Desktop-PCs, Server und Notebooks.

  3. Intel Management Engine gehackt

    Mainboard mit Intel-Chipsatz mit ME

    Sicherheitsexperten zeigten, wie sie eine Sicherheitslücke in Intels ME-Firmware nutzen, um unsignierten Code auszuführen. Die ME hat im Prinzip unbeschränkten Zugriff auf die Hardware des Systems, kann aber von Virenscannern nicht überwacht werden.

  4. Sicherheitslücke in vielen Intel-Systemen seit 2010

    Intel Management Engine (Intel ME)

    Die Firmware der oft kritisierten Management Engine (ME) in vielen PCs, Notebooks und Servern mit Intel-Prozessoren seit 2010 benötigt Updates, um Angriffe zu verhindern.

  1. Tipps zur Intel-ME-Sicherheitslücke SA-00075

    PC mit Intel-Netzwerkchip

    Am 1. Mai hat Intel eine Sicherheitslücke in der ME-Firmware vieler Desktop-PCs, Notebooks und Server gemeldet: Was Sie jetzt tun sollten.

  2. BIOS-Update - so funktioniert's

    Das BIOS oder UEFI wird von Windows nicht mit aktualisiert. Ein manuelles Update ist aber ganz einfach.

  3. Sicherheitslücken graphisch sichtbar machen

    Sicherheitslücken graphisch sichtbar machen

    Bonner Informatiker haben ein Analysetool entwickelt, mit dem sich Sicherheitslücken in Routern und Smart-Home-Geräten ermitteln lassen. Sie setzen dabei auf die graphische Darstellung von Maschinensprache.

  1. Mars-Rover Curiosity: Panoramafoto zeigt Krater und bisherige Wegstrecke

    Mars-Rover Curiosity: Riesiges Panoramafoto zeigt Krater und bisherige Wegstrecke

    Seit mehr als fünf Jahren ist Curiosity auf dem Mars unterwegs und nun hat er einen Berghang so weit erklommen, dass ein Blick zurück fast die gesamte bisherige Wegstrecke zeigt. Zu erkennen sind große Teile des Kraters Gale und darüber hinaus.

  2. c't zockt Spiele-Review: Rust

    c't zockt Spiele-Review: Rust

    Beim Multiplayer-Survival-Spiel Rust gibt es nur ein Ziel: überleben! Nach vier Jahren Entwicklung im Early-Access-Bereich von Steam ist Rust nun offiziell für Windows, macOS und Linux verfügbar.

  3. Retro-Computer: C64 Mini erscheint mit 64 Spielen am 29. März für 80 Euro

    Retro-Computer: C64 Mini erscheint am 29. März für 80 Euro

    In den 80ern ein Klassiker und bald wieder auf dem Markt: Ein geschrumpfter Nachbau mit modernem Innenleben und 64 Spielen sollt als TheC64 Mini Ende März in den Handel kommen.

  4. Vorstellung: Hyundai Santa Fe

    Hyundai Santa Fe

    Bevor er in Genf enthüllt wird, gibt Hyundai einen erweiterten Einblick in die vierte Generation des Santa Fe. Während die Antriebspalette weitgehend auf Bewährtes setzt, wächst das Mittelklasse-SUV in jeder Richtung und erhält mehr Assistenzsysteme

Anzeige