Bug in Intel-Firmware gefährdet Business-PCs seit 2008

Intel warnt in einem Advisory (Intel ID: INTEL-SA-00075) vor kritischen Sicherheitslecks in der Firmware von Active Management Technology (AMT), Standard Manageability (ISM) und Small Business Technology (SBT). Über mehrere Sicherheitslücken kann ein Angreifer die eigenen Privilegien ausweiten und schließlich die Kontrolle über das angegriffene System erlangen. Betroffen sind zahlreiche Business-Plattformen seit 2008 bis heute.

Wie aus dem Advisory hervorgeht, lassen sich die Schachstellen auf zwei Arten ausnutzen. Ein Remote-Angreifer kann einerseits Kontrolle über die Management-Produkte Active Management Technology und Standard Manageability erlangen. Diesen Fehler bewertet Intel mit 9,8 auf einer Skala bis 10 (CVSSv3). Von dem zweiten Leck sind neben beiden genannten Technologien auch die Small Business Technology betroffen. Dieser Fehler wird mit 8,4 bewertet. Hier warnt Intel, dass ein unprivilegierter Angreifer auf die Management-Features zugreifen und so die eigenen Rechte auf dem lokalen Netzwerk oder einem lokalen System ausweiten kann.

Intels Hardware-basiertes Management von PCs in der Ansicht der Active Mangement Technology (AMT). (Bild: Thomas Krenn AG)

In den drei genannten Produkten sind die Firmware-Versionen 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 und 11.6 betroffen. Versionen vor 6 und nach 11.6 sind laut Intel nicht betroffen. Damit steckt die Lücke in sämtlichen Modellen von Nehalem aus dem Jahr 2008 bis Kaby Lake aus dem Jahr 2017 von dem Leck in der Intel Management Engine betroffen.

Die Intel Active Management Technology setzt sich aus Hardware und Firmware zusammen und erlaubt ein remote Out-of-Band-Management von PCs. Über das Hardware-basierte AMT können die Systeme überwacht, gepflegt, repariert und aktualisiert werden.

“Intel rät daher dringend, dass zunächst als allererster Schritt die genannten Management-Werkzeuge deaktiviert werden sollen”, so Intel in einem PDF. Als zweiten Schritt empfiehlt Intel, den Local Management Service zu deaktivieren oder zu entfernen. LMS lauscht der Manageability Engine (ME) auf den Ports 16992, 16993, 16994, 16995, 623 und 664 und leitet den Traffic über die Firmware auf den MEI-Treiber.

Intel manageability
firmware

Associated
CPU Generation

Resolved
Firmware

X.X.XX.3XXX

6.0.xx.xxxx

1st Gen Core

6.2.61.3535

6.1.xx.xxxx

6.2.61.3535

6.2.xx.xxxx

6.2.61.3535

7.0.xx.xxxx

2nd Gen Core

7.1.91.3272

7.1.xx.xxxx

7.1.91.3272

8.0.xx.xxxx

3rd Gen Core

8.1.71.3608

8.1.xx.xxxx

8.1.71.3608

9.0.xx.xxxx

4th Gen Core

9.1.41.3024

9.1.xx.xxxx

9.1.41.3024

9.5.xx.xxxx

9.5.61.3012

10.0.xx.xxxx

5th Gen Core

10.0.55.3000

11.0.xx.xxxx

6th Gen Core

11.0.25.3001

11.5.xx.xxxx

7th Gen Core

11.6.27.3264

11.6.xx.xxxx

11.6.27.3264

Gegenüber ZDNet.com erklärt Google-Sicherheitsexperte Matthew Garrett, dass Nutzer sicherstellen sollten, dass AMT deaktiviert ist: “Um dieses Leck zu beheben, ist ein Firmware-Update nötig, um eine neue Management Engine Firmware mit samt einer aktualisierten Version des AMT-Codes bekommen zu können. Viele der betroffenen Systeme aber werden nicht mehr von den Herstellern mit Firmware-Updates versorgt und werden daher voraussichtlich nie einen Fix bekommen.” Daher sei jeder, der AMT auf einem seiner Rechner aktiviert habe, über dieses Leck angreifbar.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Zudem seien Firmware-Updates meistens nicht als sicherheitsrelevant markiert und würden auch nicht über Windows Update verteilt. Daher werden Nutzer, selbst wenn ein Hersteller ein Update zur Verfügung stellt, nicht informiert und installieren folglich die Aktualisierung meist auch nicht.

Jedoch sind lediglich Systeme betroffen, die mit Intels vPro-Technologie ausgerüstet sind. Das ist in aller Regel nur bei gewerblich genutzten Rechnern der Fall. Entdeckt hat laut Intel das Leck Maksim Malyutin von Embedi, wohingegen ein Team von SemiAccurate erklärt, das Leck bereits vor fünf Jahren entdeckt zu haben.

[mit Material von Chris Duckett, ZDNet.com]

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

11 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

12 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago