Intel AMT | Permanently disabled | Lenovo ThinkPad X1 Gen4

Hast Du Probleme mit Hardware, die durch die anderen Foren nicht abgedeckt werden? Schau auch in den "Tipps und Tricks"-Bereich.
Antworten
slu
Beiträge: 2137
Registriert: 23.02.2005 23:58:47

Intel AMT | Permanently disabled | Lenovo ThinkPad X1 Gen4

Beitrag von slu » 04.02.2021 20:05:43

Was genau passiert wenn man im Bios bei Intel AMT "Permanently disabled" auswählt (man kann das nicht mehr ändern).
Ist man dann diese Intel Managment Engine los und braucht sich auch nicht mehr um die Updates der ME kümmern?

Ich sollte keine Intel Geräte mehr kaufen... :roll:
Zuletzt geändert von slu am 04.02.2021 21:59:34, insgesamt 2-mal geändert.
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Intel ATM | Permanently disabled | Lenovo ThinkPad X1

Beitrag von OrangeJuice » 04.02.2021 21:13:40

Meinst du Intel AMT(Fernwartung(Link Intel))?

mcb

Re: Intel ATM | Permanently disabled | Lenovo ThinkPad X1

Beitrag von mcb » 04.02.2021 21:18:52

Ja ich denke das meint er. Die Intel ME kann man leider nicht abschalten.

Scheint ein Modell mit vpro zu sein.

slu
Beiträge: 2137
Registriert: 23.02.2005 23:58:47

Re: Intel AMT | Permanently disabled | Lenovo ThinkPad X1

Beitrag von slu » 04.02.2021 21:44:59

Oh da haben ich mich vertippt, ja ich meinte AMT sorry.

Das ThinkPad Bios ist sehr spannend, wenn man AMT auf "Permanently disabled" steht kommt eine Warnung das man das nicht mehr rückgängig machen kann.
Beim nächsten Neustart kommt dann "Unconfiguring..." danach startet die Hardware nochmal neu und bootet ganz normal das Debian.

Ab jetzt ist der Punkt im Bios komplett weg.

Ein "fwupdmgr get-updates" zeigt die ME aber immer noch an, wie schon geschrieben verschwindet das nicht.
Die Frage die sich mir jetzt stellt, hab ich durch das "Permanently disabled" etwas Sicherheit gewonnen?
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

mcb

Re: Intel AMT | Permanently disabled | Lenovo ThinkPad X1

Beitrag von mcb » 04.02.2021 21:48:51

slu hat geschrieben: ↑ zum Beitrag ↑
04.02.2021 21:44:59
Oh da haben ich mich vertippt, ja ich meinte AMT sorry.

Das ThinkPad Bios ist sehr spannend, wenn man AMT auf "Permanently disabled" steht kommt eine Warnung das man das nicht mehr rückgängig machen kann.
Beim nächsten Neustart kommt dann "Unconfiguring..." danach startet die Hardware nochmal neu und bootet ganz normal das Debian.

Ab jetzt ist der Punkt im Bios komplett weg.

Ein "fwupdmgr get-updates" zeigt die ME aber immer noch an, wie schon geschrieben verschwindet das nicht.
Die Frage die sich mir jetzt stellt, hab ich durch das "Permanently disabled" etwas Sicherheit gewonnen?
Ja - etwas "Sicherheit" hast du gewonnen :wink:

Die ME kann man aber leider nicht einfach abschalten.

Welche Gen.(Modelljahr) hast du denn ?

slu
Beiträge: 2137
Registriert: 23.02.2005 23:58:47

Re: Intel AMT | Permanently disabled | Lenovo ThinkPad X1

Beitrag von slu » 04.02.2021 21:58:47

mcb hat geschrieben: ↑ zum Beitrag ↑
04.02.2021 21:48:51
Welche Gen.(Modelljahr) hast du denn ?
Gen4 müsste ~ 2016 sein.
Ist mein erstes gebrauchtes Lenovo, seither hatten wir nur Dell Neugeräte.

Edit: Hab das Gen4 noch im Betreff ergänzt.
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

slu
Beiträge: 2137
Registriert: 23.02.2005 23:58:47

Re: Intel AMT | Permanently disabled | Lenovo ThinkPad X1

Beitrag von slu » 05.02.2021 10:53:58

mcb hat geschrieben: ↑ zum Beitrag ↑
04.02.2021 21:48:51
Ja - etwas "Sicherheit" hast du gewonnen :wink:
Was genau passiert da, man kann die AMT nicht mehr konfigurieren?
Könnte zur nächsten Lücke werden falls es doch mal einer schafft 8O
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Intel AMT | Permanently disabled | Lenovo ThinkPad X1 Gen4

Beitrag von MSfree » 05.02.2021 11:34:53

Mit ATM läßt sich der Rechner komplett fernsteuern. Man kann damit sogar direkt ins BIOS/UEFI von dem Rechner gelangen oder Windows nach TeamViewer-Art fernbedienen. Für Arbeitsplatzrechner, die von einer IT-Abteilung gewartet werden, ist das durchaus sinnvoll. Ein "verloren" gegangenes Bootdevice kann somit z.B. wieder im BIOS eingerichtet werden, ohne daß der Techniker vor Ort sein muß bzw. das Gerät eingeschickt werden muß.

Wie jede sinnvolle Fernwartungsmöglichkeit, bietet das aber auch eine Angriffsfläche. Darum kann man ATM auch abschalten. Ob es mit diesem Schalter im BIOS wirklich abgeschaltet ist, daruf mußt du leider vertrauen.

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Intel AMT | Permanently disabled | Lenovo ThinkPad X1 Gen4

Beitrag von OrangeJuice » 05.02.2021 11:59:59

Ich hatte mal eine gebrauchte Intel CPU von der ich nicht wusste, dass sie Intel AMT mit dabei hat. Tja, was soll ich sagen, es war kein Vergnügen, was auch immer der Vorbesitzer damit gemacht hat, AMT führte ein Eigenleben. Mein Pech, das Mainboard unterstützte einen Teil der Funktionen der AMT.
Ring −3 rootkit

A ring −3 rootkit was demonstrated by Invisible Things Lab for the Q35 chipset; it does not work for the later Q45 chipset as Intel implemented additional protections.[48] The exploit worked by remapping the normally protected memory region (top 16 MB of RAM) reserved for the ME. The ME rootkit could be installed regardless of whether the AMT is present or enabled on the system, as the chipset always contains the ARC ME coprocessor. (The "−3" designation was chosen because the ME coprocessor works even when the system is in the S3 state, thus it was considered a layer below the System Management Mode rootkits.[19]) For the vulnerable Q35 chipset, a keystroke logger ME-based rootkit was demonstrated by Patrick Stewin.[49][50]
...
SA-00075 (a.k.a. Silent Bob is Silent)

In May 2017, Intel confirmed that many computers with AMT have had an unpatched critical privilege escalation vulnerability (CVE-2017-5689).[39][52][37][53][54] The vulnerability, which was nicknamed "Silent Bob is Silent" by the researchers who had reported it to Intel,[55] affects numerous laptops, desktops and servers sold by Dell, Fujitsu, Hewlett-Packard (later Hewlett Packard Enterprise and HP Inc.), Intel, Lenovo, and possibly others.[55][56][57][58][59][60][61] Those researchers claimed that the bug affects systems made in 2010 or later.[62] Other reports claimed the bug also affects systems made as long ago as 2008.[63][39] The vulnerability was described as giving remote attackers:

"full control of affected machines, including the ability to read and modify everything. It can be used to install persistent malware (possibly in firmware), and read and modify any data."
— Tatu Ylönen, ssh.com[55]
Quelle: https://en.wikipedia.org/wiki/Ring_%E2%88%923_rootkit
Es lohnt sich den Wikipedia-Artikel genauer zu lesen, sehr interessant. Mit "Ring −3 rootkit"-Fähigkeiten ist das ein GameOver. Aber von dem Kram ist nicht nur Intel betroffen, AMD hat auch dicke Lücken und das werden bestimmt nicht die letzten gefundenen Lücken sein.

slu
Beiträge: 2137
Registriert: 23.02.2005 23:58:47

Re: Intel AMT | Permanently disabled | Lenovo ThinkPad X1 Gen4

Beitrag von slu » 05.02.2021 14:33:47

MSfree hat geschrieben: ↑ zum Beitrag ↑
05.02.2021 11:34:53
Ob es mit diesem Schalter im BIOS wirklich abgeschaltet ist, daruf mußt du leider vertrauen.
Ja ich sehe schon, nur weil jetzt der ganze Punkt im Bios fehlt kann das Teil immer noch leben.
Hoffentlich hat Lenovo hier ordentlich gearbeitet.
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

KP97
Beiträge: 3405
Registriert: 01.02.2013 15:07:36

Re: Intel AMT | Permanently disabled | Lenovo ThinkPad X1 Gen4

Beitrag von KP97 » 05.02.2021 17:45:40

@slu
Das lebt auch wahrscheinlich noch, genau wie ME kann man das auch nicht ausschalten, wenn ich den Artikel richtig lese:
https://de.wikipedia.org/wiki/Intel_Act ... Technology

Wir hatten hier im Forum auch mal einen Thread zu ME, ist schon etwas her. Da wurden gerade die Sicherheitslücken von Intel publik.
Da hatte ich auch versucht, ME im Kernel loszuwerden, aber keine Chance. Ich habe dann - genau wie Du - geschrieben, meine nächste Hardware kommt nicht mehr von Intel,
aber danach bin ich im Netz auf ähnliche Hinterhältigkeiten bei AMD gestoßen, nur mit anderem Namen...
Wir sind halt gläserne Kunden, ob uns das paßt oder nicht.

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Intel AMT | Permanently disabled | Lenovo ThinkPad X1 Gen4

Beitrag von OrangeJuice » 05.02.2021 19:54:36

Ich fürchte, der ganze Kram wird nicht besser. Mit "Pluton" ist die nächste Sicherheitstechnik direkt in die CPU eingebaut, "Chip to Cloud"(heise.de).
Als Hardware-Vertrauensanker mit Microsoft-Signatur bauen AMD, Intel und Qualcomm künftig den "Pluton-Controller" in ihre Chips ein. Damit folgt Microsoft den Vorbildern Apple und Google und schafft eine eigene "Root of Trust"-Infrastruktur gegen Manipulationen. Quelle
Wenn ich mir durchlese, wie Intel den Spetrce Kram beheben will. :facepalm:

Intel’s Tiger Lake CPUs May Partly Protect Against Spectre, Meltdown
IME creates an execution enclave that the primary OS knows nothing about and SGX attempts to create data enclaves that even a corrupted OS can’t touch.

Quelle
2. Quelle

Meltdown ist laut lscpu bei der i5-10400 CPU schon geschlossen.

KP97
Beiträge: 3405
Registriert: 01.02.2013 15:07:36

Re: Intel AMT | Permanently disabled | Lenovo ThinkPad X1 Gen4

Beitrag von KP97 » 05.02.2021 20:44:30

OrangeJuice hat geschrieben: ↑ zum Beitrag ↑
05.02.2021 19:54:36
Mit "Pluton" ist die nächste Sicherheitstechnik direkt in die CPU eingebaut, "Chip to Cloud"(heise.de).
Als Hardware-Vertrauensanker mit Microsoft-Signatur...
Ist ja schon ein Widerspruch in sich...tja, dagegen sind wir machtlos. Wir können natürlich auf künftige Hardwarekäufe verzichten, aber das ist ja auch keine brauchbare Lösung.
Am besten ist es wohl, sich nicht allzuviel damit zu beschäftigen und sich zu ärgern...

slu
Beiträge: 2137
Registriert: 23.02.2005 23:58:47

Re: Intel AMT | Permanently disabled | Lenovo ThinkPad X1 Gen4

Beitrag von slu » 08.02.2021 18:36:36

Das sind ja alles schöne Aussichten, ich sollte mich mehr mit Hardware beschäftigen.
Hab übrigens mal ein Windows 10 gebootet und das ME Info Tool von Intel zeigt zumindest mal AMT und ME disabled an.

Mehr kann ich wohl einfach nicht machen.
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Intel AMT | Permanently disabled | Lenovo ThinkPad X1 Gen4

Beitrag von OrangeJuice » 08.02.2021 20:05:32

slu hat geschrieben: ↑ zum Beitrag ↑
08.02.2021 18:36:36
Hab übrigens mal ein Windows 10 gebootet und das ME Info Tool von Intel zeigt zumindest mal AMT und ME disabled an.
Wenn das Tool anzeigt, dass die Intel ME nicht aktiviert ist, ist das nicht unbedingt positiv zu werten. Die Intel ME hat einen Intel ME Manufacturing Mode, der eine Gefahr darstellen könnte, wenn man damit unterwegs ist. Dazu zwei Links:
Intel ME Manufacturing Mode: obscured dangers and their relationship to Apple MacBook vulnerability

Intel ME's Undocumented Manufacturing Mode Suggests CPU Hacking Risks

Ganz wohl ist mir nicht, wenn dieser Modus aktiv ist.

Antworten