Bug in Intel-Firmware gefährdet Business-PCs seit 2008

Rechner mit vPro sind betroffen. Weil viele betroffene Systeme keine Firmware-Updates mehr bekommen, sollten Anwender AMT deaktivieren.

Intel warnt in einem Advisory (Intel ID: INTEL-SA-00075) vor kritischen Sicherheitslecks in der Firmware von Active Management Technology (AMT), Standard Manageability (ISM) und Small Business Technology (SBT). Über mehrere Sicherheitslücken kann ein Angreifer die eigenen Privilegien ausweiten und schließlich die Kontrolle über das angegriffene System erlangen. Betroffen sind zahlreiche Business-Plattformen seit 2008 bis heute.

Wie aus dem Advisory hervorgeht, lassen sich die Schachstellen auf zwei Arten ausnutzen. Ein Remote-Angreifer kann einerseits Kontrolle über die Management-Produkte Active Management Technology und Standard Manageability erlangen. Diesen Fehler bewertet Intel mit 9,8 auf einer Skala bis 10 (CVSSv3). Von dem zweiten Leck sind neben beiden genannten Technologien auch die Small Business Technology betroffen. Dieser Fehler wird mit 8,4 bewertet. Hier warnt Intel, dass ein unprivilegierter Angreifer auf die Management-Features zugreifen und so die eigenen Rechte auf dem lokalen Netzwerk oder einem lokalen System ausweiten kann.

Intels Hardware-basiertes Management von PCs in der Ansicht der Active Mangement Technology (AMT). (Bild: Thomas Krenn AG)
Intels Hardware-basiertes Management von PCs in der Ansicht der Active Mangement Technology (AMT). (Bild: Thomas Krenn AG)

In den drei genannten Produkten sind die Firmware-Versionen 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 und 11.6 betroffen. Versionen vor 6 und nach 11.6 sind laut Intel nicht betroffen. Damit steckt die Lücke in sämtlichen Modellen von Nehalem aus dem Jahr 2008 bis Kaby Lake aus dem Jahr 2017 von dem Leck in der Intel Management Engine betroffen.

Die Intel Active Management Technology setzt sich aus Hardware und Firmware zusammen und erlaubt ein remote Out-of-Band-Management von PCs. Über das Hardware-basierte AMT können die Systeme überwacht, gepflegt, repariert und aktualisiert werden.

“Intel rät daher dringend, dass zunächst als allererster Schritt die genannten Management-Werkzeuge deaktiviert werden sollen”, so Intel in einem PDF. Als zweiten Schritt empfiehlt Intel, den Local Management Service zu deaktivieren oder zu entfernen. LMS lauscht der Manageability Engine (ME) auf den Ports 16992, 16993, 16994, 16995, 623 und 664 und leitet den Traffic über die Firmware auf den MEI-Treiber.

Intel manageability
firmware

Associated
CPU Generation

Resolved
Firmware

X.X.XX.3XXX

 
 

6.0.xx.xxxx

1st Gen Core

6.2.61.3535

 

6.1.xx.xxxx

6.2.61.3535

 

6.2.xx.xxxx

6.2.61.3535

 

7.0.xx.xxxx

2nd Gen Core

7.1.91.3272

 

7.1.xx.xxxx

7.1.91.3272

 

8.0.xx.xxxx

3rd Gen Core

8.1.71.3608

 

8.1.xx.xxxx

8.1.71.3608

 

9.0.xx.xxxx

4th Gen Core

 

9.1.41.3024

 

9.1.xx.xxxx

9.1.41.3024

 

9.5.xx.xxxx

9.5.61.3012

 

10.0.xx.xxxx

5th Gen Core

10.0.55.3000

 

11.0.xx.xxxx

6th Gen Core

11.0.25.3001

 

11.5.xx.xxxx

7th Gen Core

11.6.27.3264

 

11.6.xx.xxxx

11.6.27.3264

Gegenüber ZDNet.com erklärt Google-Sicherheitsexperte Matthew Garrett, dass Nutzer sicherstellen sollten, dass AMT deaktiviert ist: “Um dieses Leck zu beheben, ist ein Firmware-Update nötig, um eine neue Management Engine Firmware mit samt einer aktualisierten Version des AMT-Codes bekommen zu können. Viele der betroffenen Systeme aber werden nicht mehr von den Herstellern mit Firmware-Updates versorgt und werden daher voraussichtlich nie einen Fix bekommen.” Daher sei jeder, der AMT auf einem seiner Rechner aktiviert habe, über dieses Leck angreifbar.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Zudem seien Firmware-Updates meistens nicht als sicherheitsrelevant markiert und würden auch nicht über Windows Update verteilt. Daher werden Nutzer, selbst wenn ein Hersteller ein Update zur Verfügung stellt, nicht informiert und installieren folglich die Aktualisierung meist auch nicht.

Jedoch sind lediglich Systeme betroffen, die mit Intels vPro-Technologie ausgerüstet sind. Das ist in aller Regel nur bei gewerblich genutzten Rechnern der Fall. Entdeckt hat laut Intel das Leck Maksim Malyutin von Embedi, wohingegen ein Team von SemiAccurate erklärt, das Leck bereits vor fünf Jahren entdeckt zu haben.

[mit Material von Chris Duckett, ZDNet.com]