Problem mit Intel Management Engine - Problem auch für Privatnutzer?

**Newbie314** · 02.05.17, 22:29

Wie zu erwarten wurden in der Intel Management Engine weitere Sicherheitslücken gefunden:

https://www.heise.de/newsticker/meld...0-3700880.html

Aus dem Artikel wird mir nicht richtig klar inwiefern so eine Lücke einen Privatnutzer beeinflusst. Wie käme jemand von außen an diese Engine ran ? Im eigenen LAN / WLAN müsste der Router doch Angriffe auf die Lücke abwehren ? Müsste ein Laptop Nutzer im Hotspot irgendetwas berücksichtigen?

Wenn ich den Artikel richtig lese besteht die Gefahr einer "privilege escalation" eines lokalen Prozesses oder von einem Rechner im LAN / WLAN aus... die wäre dann eher wieder theoretisch.

(Ich gehe mal von Rechnern aus die so alt sind dass sie kein BIOS Update mehr erhalten- bei den neueren wird jeder der sich auskennt und die Sicherheitsnachrichten verfolgt ein Update einspielen und all die anderen Nutzer ungeschützt bleiben....)

**nopes** · 02.05.17, 22:45

Soweit ich das verstehe ist es eine Kombi aus "Chipsatz + Small Business Technology", idR also eher nicht relevant, weil diese Small Buisness Dignsis privat eher selten in Betrieb sein dürften:

There is an escalation of privilege vulnerability in Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), and Intel® Small Business Technology versions firmware versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5, and 11.6 that can allow an unprivileged attacker to gain control of the manageability features provided by these products. This vulnerability does not exist on Intel-based consumer PCs.

sa: https://security-center.intel.com/ad...nguageid=en-fr
Da wird auch etwas besser beschrieben, was man tun soll.

**Newbie314** · 02.05.17, 22:51

Ich habe ein ehemaliges Business Gerät in Betrieb. Muss mal im BIOS nachgucken ob ich da was finde- und ob da evtl. etwas ausversehen aktiv geschaltet ist was im Desktopbetrieb kein Schwein braucht.

Diese Intel Engine ist mir auch ein Dorn im Auge: sie existiert auch auf den Consumer PCs (dort fehlt nur die Fernwartung mit dem neu bekannten Sicherheitsloch) und so etwas kann jegliche Sicherheitsvorkehrung im Betriebssystem aushebeln da es sozusagen "auf der Hardware läuft".

Sozusagen "Sicherheitslücken ab Werk".

**nopes** · 02.05.17, 23:10

AFAIK setzt das auch immer ein Stück Software voraus, dürfte also ein exklusives Windows Problem sein

Zitat von https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

Step 4: If a firmware update is not available from your OEM, mitigations are provided in this document: https://downloadcenter.intel.com/download/26754

Im PDF finde ich auf die Schnelle nichts, was mich da bei Linux beunruhigen würde, alles so Windows spezifische Anweisungen. Wiederum soll man ja immer updaten, gilt halt auch fürs "BIOS"

**Newbie314** · 02.05.17, 23:18

Wenn ich das richtig sehe "hört" diese Engine auf bestimmten Schnittstellen mit und wartet auf Anweisungen. Somit wäre das auch für ein binary unter Linux ausnutzbar.

Schlimmer scheint es bei der Netzwerkschnittstelle zu sein, da scheint die Hardware "mitzuhören" ohne dass du das per Software (Iptables) unterbinden kannst. Nur so kann die angepriesene Eigenschaft dass Admins damit auf komplett "aufgehängte" Systeme noch draufkommen überhaupt realisiert sein.

Ich tröste mich mal so: sollten für diese Eigenschaften im BIOS keine Schalter sein sind sie wahrscheinlich ausgeschaltet. Bei Businessgeräten dürfte die IT Abteilung bzw. auch die Beschaffer enormen Wert darauf legen solche Features -sofern vorhanden- ausschalten zu können, d.h. wenn die Schalter nicht mitgeliefert werden sollten solche Features eigentlich aus sein.

Sollten.

Naja, ist ja mein PrivatLAN, also eher eine theoretische Gefahr solange es nicht jemand Schafft so ein Feature aus einem Drive By Exploit aus Firefox zu aktivieren.....

P.S. das neueste BIOS für meine Kiste stammt von 2013 und ist installiert.

**florian0285** · 03.05.17, 08:28

So wie ich das auch verstehe ist das Betriebsystem unabhängig und betrifft somit auch Linux. Wer kein Update vom Hersteller erhält oder von Intel kann den riskanten Weg gehen und unter folgender Anleitung ME (und vielleicht auch mehr) aus dem BIOS zu entfernen:

https://hardenedlinux.github.io/firm...ivybridge.html

Man kann sich aber auch das System schrotten!

**Newbie314** · 07.05.17, 14:05

Als Privatperson in meinem privaten LAN hinter einem Router würde ich so weit nicht gehen.

Ich erhielt noch einen Tipp von "Black Adder" von einem anderen Rechner aus per nmap folgende Ports zu prüfen: 16992 und 16993 (TCP).

Siehe dazu auch: https://software.intel.com/en-us/art...de-intel-amt-9

Edit: hier ist noch ein Update das ich von "Black Adder" erhielt, vor allem der Tipp mit "lspci" in diesem Beitrag ist interessant:

https://mjg59.dreamwidth.org/48429.html

**TheDarkRose** · 07.05.17, 15:06

Alle neuen Infos werden hier gesammelt: https://www.ssh.com/vulnerability/intel-amt/
Dort sollte auch bald ein Liste der betroffenen Geräte kommen.

See list of Intel desktop boards that are impacted. Intel says they will be publishing an update on May 17, 2017.

**Newbie314** · 07.05.17, 17:02

Hier nochmal ein Link von "Black Adder": https://semiaccurate.com/2017/05/01/...tel-platforms/

Ist aber arg gruselig, Semiaccurate behauptet sie beknien Intel schon seit Jahren diesen Fehler zu beheben. Wenn das stimmt (siehe auch die Hinweise auf die "secure boot" TPM Mechanismen die laut Semiaccurate genau so löchrig sind) sollte man in sicherheitsrelevanten Umgebungen gar keine Intel Chips mehr einsetzen.

**florian0285** · 07.05.17, 18:47

Zitat von Newbie314

Als Privatperson in meinem privaten LAN hinter einem Router würde ich so weit nicht gehen.

Laptops in einem öffentlichen Netzwerk/Hotspt ohne AP-Isolation?

**Newbie314** · 07.05.17, 19:17

Die haben verloren.

**florian0285** · 08.05.17, 10:52

Schon wieder diese "wir werden nie fliegen können" Einstellung. Ich dachte du bist eine Katze, die nie aufgibt?

Bevor man aus Sicherheitsgründen sowieso neue Hardware kauft kann man das als privater auch ausprobieren [emoji6]
Hardwareschrott is es davor sowieso schon. Ein paar Opfer wirds geben, aber im Endeffekt wird das wie beim Bootloader entsperren auf Smartphones oder es interessiert dann einfach keinen und man lebt mit dem Risiko.
Unternehmen kaufen sich dann eh neue Hardware.

Die Niederlage beginnt schon im Kopf [emoji6]

**Newbie314** · 08.05.17, 12:13

Genauer: nicht mein Problem. Ich habe hier einen Desktop.
Laptopnutzer müssen halt sehen wo sie bleiben, schlimmstenfalls WLAN Hotspots meiden. Viel anfälliger als ein typisches Android Smartphone werden diese Laptops schätze ich auch nicht sein.

Jedenfalls kann ein Laptop Nutzer sich anhand dieses Threads hier informieren und dann eine informierte Entscheidung treffen wie er mit dem Problem umgeht. Für mich ist auch klar dass sich Intel einen D* um die Sicherheit seiner Kunden kümmert.

**florian0285** · 08.05.17, 12:32

Zitat von Newbie314

Für mich ist auch klar dass sich Intel einen D* um die Sicherheit seiner Kunden kümmert.

Das wird wohl einfach eine Wirtschaftlichkeitsrechnung mit einem Hauch Wahrscheinlichkeit gewesen sein. Jetzt bringen sie ja Updates für eine Hand voll Geräte.

Alternativ könnte man zusätzlich zu dieser Aussage auch einfach eine Liste mit vertrauenswürdigen Hardwareherstellern posten

Letztendlich wird man aber wieder im Rückzugsgebiet "All" landen

**fork** · 08.05.17, 17:44

Naja. Es war absehbar, dass das kommt. Nein, man will nichts aus dem öffentlichen Internet erreichbar haben, was da nicht hin gehört. Und neu ist das auch nicht.

Aber wenn Intel und auch Supermicro derartig grosse Sicherheitslücken haben, dann weiss ich auch nicht, ob da überhaupt jemand zuverlässige sichere Boards baut bzw. an der Sicherheit dran ist. Wahrscheinlich sind es auch nur Minderheiten, die bereit sind, dann dafür einen deutlich erhöhten Einkaufspreis zu akzeptieren.