Intel- Sicherheitslücke

Smalltalk
Antworten
Benutzeravatar
Aiki09
Beiträge: 47
Registriert: 12.09.2013 10:16:48

Intel- Sicherheitslücke

Beitrag von Aiki09 » 24.11.2017 11:09:48

Moin,

eine Frage in die Runde.

ich habe heute diese Meldung gelesen :
"https://www.pro-linux.de/news/1/25369/i ... tellt.html"

Könnte mir bitte jemand diese Problem erklären und (für einen Laien) die wirkliche Gefahr erläutern, welche davon ausgeht.
Und ob man dagegen auch etwas machen kann.

Bei mir ist ein Intel Core i5 verbaut, dadurch müsste mein Laptop dann ja anfällig sein. Allerdings verstehe ich nicht ganz, welche Zenarien da ausgeführt werden müssten.

Danke schon einmal.

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Intel- Sicherheitslücke

Beitrag von heisenberg » 24.11.2017 11:16:38

Die Intel Management Engine ist eine Fernwartungssoftware und quasi ein eigenes Betriebssystem(etliche MB, afaik ist das "MINIX") direkt auf dem Chip.

Die Fehler darin führen dazu, dass man einen PC unentdeckt kapern und sich dauerhaft unentdeckt einnisten kann. Die Schadprogramme wären dann nur im Chip und nirgends im RAM oder auf der Festplatte.

Möglichkeiten:
  • Aktuelle Intel Management Software jeweils updaten
  • Es gibt diverse andere Ansätze mit der man die Firmware zu 99% aus dem Chip löscht, wonach die dann nichts mehr schlimmes anstellen kann. Ist nicht trivial.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Intel- Sicherheitslücke

Beitrag von Lord_Carlos » 24.11.2017 11:20:41

So viel ich weis ist es nicht remote, also jemand muss an dein Rechner rann um ihn zu manipulieren.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
Aiki09
Beiträge: 47
Registriert: 12.09.2013 10:16:48

Re: Intel- Sicherheitslücke

Beitrag von Aiki09 » 24.11.2017 11:22:21

Hallo Heisenberg,

wie aber kann man dann unter Debian die "Intel Management Software" updaten?
Stellt Debian dafür Pakete bereit?

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Intel- Sicherheitslücke

Beitrag von heisenberg » 24.11.2017 11:23:37

Das hat nix mit Debian zu tun. Die Software ist auf einem Chip auf Deinem Mainboard.

Die Updates gibt's wenn überhaupt, dann von Intel. In dem Beitrag ist die Rede von einem Werkzeug, dass Dich über Sicherheitslücken durch alte Versionen Deiner ME-Software-Version informiert.

@Lord_Carlos:

Die Intel ME ist ein Betriebssytem mit Netzwerkstack, und deswegen grundsätzlich am Netz und somit über das Netz angreifbar. Das besondere dabei ist, das man dass auch eher nicht mitbekommt, weil die Pakete an die Management-Engine dieser zugestellt werden, bevor das Betriebssystem die Pakete überhaupt zu Gesicht bekommt. Und zusätzlich ist es noch so, dass man vom Recher auf die Management-Engine selbst gar keinen Zugriff per Netzwerk bekommt, weil die ME eben so komisch zwischen drin hängt.

Es ist wohl grundsätzlich mal gut, das Dings (bei Nichtverwendung sowieso) abzuschalten und die IP-Adresskonfiguration komplett zu löschen.
Zuletzt geändert von heisenberg am 24.11.2017 11:30:49, insgesamt 1-mal geändert.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

Benutzeravatar
Aiki09
Beiträge: 47
Registriert: 12.09.2013 10:16:48

Re: Intel- Sicherheitslücke

Beitrag von Aiki09 » 24.11.2017 11:30:25

1. Auf der angegebenen Seite von Intel wird ein Tool für Linux zum Download angeboten.
In wie weit könnte man diesem Vertrauen, da ich nicht gern einfach etwas aud dem Internet installiere.

2. aber wie ist es möglich das "Dings" abzuschalten???

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Intel- Sicherheitslücke

Beitrag von hikaru » 24.11.2017 11:40:54

Aiki09 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 11:09:48
Könnte mir bitte jemand diese Problem erklären und (für einen Laien) die wirkliche Gefahr erläutern, welche davon ausgeht.
Falls du des Englischen mächtig bist, dann empfehle ich dazu den Wikipedia-Artikel. [1]
Aiki09 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 11:09:48
Bei mir ist ein Intel Core i5 verbaut, dadurch müsste mein Laptop dann ja anfällig sein.
Möglich, aber aufgrund dieser Info nicht klar zu entscheiden. Betroffen ist wohl nur die ME ab Version 11, also Rechner ab der Skylake-Generation. Ist dein Laptop älter, dann ist er zumindest laut der vorliegenden Informationen nicht gefährdet.
Unabhängig davon bleibt aber natürlich das grundsätzliche Vertrauensproblem in eine weitgehend verschlossene Software mit vollständigem Systemzugriff ohne Kontrollmöglichkeit des Betriebssystems bestehen.

heisenberg hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 11:16:38
Es gibt diverse andere Ansätze mit der man die Firmware zu 99% aus dem Chip löscht, wonach die dann nichts mehr schlimmes anstellen kann. Ist nicht trivial.
Diverse? Mir ist nur der ME cleaner bekannt. [2]
Ich habe schon länger den Plan, den auf meinem Desktop-PC anzuwenden, habe es aber aus einer Mischung aus Faulheit und Angst davor, dass etwas schief gehen könnte, noch nicht getan. Dabei stünden meine Chancen wohl insgesamt recht gut, denn Sandy Bridge wird gut unterstützt [3] und da ich ein Dual-BIOS-Board habe (GA-Z68X-UD3H-B3), sollte es auch einen mäßig schweren Fehlschlag überstehen, sofern hinterher überhaupt noch irgendwas hochkommt.
(edit: verwechselt mir Coreboot)

Aiki09 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 11:30:25
1. Auf der angegebenen Seite von Intel wird ein Tool für Linux zum Download angeboten.
In wie weit könnte man diesem Vertrauen, da ich nicht gern einfach etwas aud dem Internet installiere.
Die Frage ist hier bedeutungslos, da du mit dieser Einstellung schon die ME selbst als nicht vertrauenswürdig ansehen kannst. Wenn du diese Logik auf diese Software von Intel anwendest, dann dürftest du konsequenterweise den Rechner gar nicht verwenden, denn du müsstest davon ausgehen, dass er von vorneherein von Intel kompromittiert wurde.
Aiki09 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 11:30:25
2. aber wie ist es möglich das "Dings" abzuschalten???
Prinzipiell mit dem ME-cleaner. [2][3]
Dabei bestehen aber die selben Risiken wie bei jedem BIOS-Update.


[1] https://en.wikipedia.org/wiki/Intel_Management_Engine
[2] https://github.com/corna/me_cleaner
[3] https://github.com/corna/me_cleaner/wik ... ner-status

Benutzeravatar
Profbunny
Beiträge: 592
Registriert: 04.04.2004 11:12:29
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Bautzen

Re: Intel- Sicherheitslücke

Beitrag von Profbunny » 24.11.2017 11:48:25

Ich beschäftige mich derzeit auch intensiv damit, die ME loszuwerden. Auch ich bin hier ein bisschen skeptisch/ängstlich, dass nachher nicht mehr viel oder garnichts geht.
Hat denn schon jemand hier aus dem Forum den me_cleaner erfolgreich angewendet?

Wenn es denn schief geht, kann man das BIOS von extern wieder flashen, allerdings übersteigt das wohl meine Fähigkeiten/Möglichkeiten.
https://github.com/corna/me_cleaner/wik ... l-flashing
Rechner / Server Debian sid

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Intel- Sicherheitslücke

Beitrag von Lord_Carlos » 24.11.2017 11:49:22

heisenberg hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 11:23:37
Die Intel ME ist ein Betriebssytem mit Netzwerkstack, und deswegen grundsätzlich am Netz und somit über das Netz angreifbar.
Jo, ist richtig. Ich wollte OP nur weitere Informationen liefern zu den konkreten gefunden Sicherheitsluecken. So viel ich weis sind die alle nur Lokal, unter anderem mit USB sticks, ausnutzbar.

Ich habe ein Mund, du hast ein Mund. Grundsätzlich koennte ich dich Kuessen. Besteht jetzt aber keine konkrete Gefahr.

_____________
Aiki09
Intel werkelt auch am Kernel mit, willst du Debian auch nicht runterladen? :P
Kannst du machen, sollte kein ding sein.

Ich meine die Mainboard hersteller liefern die Patches aus. Bin mir da gerade aber nicht sicher.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

slu
Beiträge: 2137
Registriert: 23.02.2005 23:58:47

Re: Intel- Sicherheitslücke

Beitrag von slu » 24.11.2017 11:58:43

heisenberg hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 11:23:37
Und zusätzlich ist es noch so, dass man vom Recher auf die Management-Engine selbst gar keinen Zugriff per Netzwerk bekommt, weil die ME eben so komisch zwischen drin hängt.

Es ist wohl grundsätzlich mal gut, das Dings (bei Nichtverwendung sowieso) abzuschalten und die IP-Adresskonfiguration komplett zu löschen.
Mir ist nach wie vor unklar wie das jetzt mit meinem Notebooks ist, wenn ich das richtig verstehe sind die Geräte auch hinter NAT und Firewall gefährdet weil es am System vorbei geht?
Ich hatte die Schnittstelle nie konfiguriert, muss also erst mal schauen was da jetzt aktiv ist.

Aber wie sieht denn nun ein Angriff aus wenn ich mit dem Gerät hinter einem NAT im Internet bin?
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Benutzeravatar
Aiki09
Beiträge: 47
Registriert: 12.09.2013 10:16:48

Re: Intel- Sicherheitslücke

Beitrag von Aiki09 » 24.11.2017 12:01:28

Habe mir das Tool heruntergeladen und einmal durchgeführt:

"INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128
Scan date: 2017-11-24 10:36:34 GMT

*** Host Computer Information ***
Name: debian-acer
Manufacturer: Acer
Model: Aspire 5750G
Processor Name: Intel(R) Core(TM) i5-2450M CPU @ 2.50GHz
OS Version: debian 9.2 (4.12.0-0.bpo.2-amd64)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 7.0.4.1197
SVN: 0

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable. "

Soweit ich das verstehe ist mein System nicht betroffen.
Allerdings macht mich das nach den ganzen Antworten nicht so richtig glücklich.

Hikaru: Wenn ich das richtig verstehe, benötigt aber der Computer den Intel zum Starten (oder nicht ???).

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Intel- Sicherheitslücke

Beitrag von hikaru » 24.11.2017 12:57:30

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 11:49:22
Ich meine die Mainboard hersteller liefern die Patches aus.
Das mag im aktuellen Fall gelten, weil alle betroffenen Systeme altersbedingt noch im Supportzyklus sind, aber falls ältere Systeme betroffen wären oder eine ähnliche Situation in ein paar Jahren entsteht, dann kannst du das vergessen.
Außerdem glänzen gerade Notebookhersteller im Bereich BIOS nicht unbedingt mit Kompetenz, so dass ich mich auch aktuell nicht darauf verlassen würde, dass da Fixes kommen.

Aiki09 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 12:01:28
Processor Name: Intel(R) Core(TM) i5-2450M CPU @ 2.50GHz
Das ist eine Sandy-Bridge-CPU, nicht Skylake oder neuer und damit laut Berichten nicht betroffen.
Aiki09 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 12:01:28
Hikaru: Wenn ich das richtig verstehe, benötigt aber der Computer den Intel zum Starten (oder nicht ???).
Zum Starten weiß ich nicht, aber die ME enthält u.a. einen Watchdog. Wenn der nicht läuft, dann schaltet sich das System nach 30 Minuten automatisch ab. Deshalb entfernt der ME-Cleaner die ME nicht vollständig, sondern entkernt sie nur. So werden z.B. sämtliche Netzwerkfähigkeiten aus ihr entfernt um ihr die Möglichkeit zu nehmen, "nach Hause telefonieren" zu können.
Ein mit ME-Cleaner bearbeitetes System länger als 30 Minuten laufen zu lassen ist sowas wie ein Lackmustest um zu prüfen, ob bei der Säuberung nichts schief gegangen ist.

Benutzeravatar
MartinV
Beiträge: 788
Registriert: 31.07.2015 19:38:52
Wohnort: Hyperion
Kontaktdaten:

Re: Intel- Sicherheitslücke

Beitrag von MartinV » 24.11.2017 13:19:46

Google arbeitet wohl ernsthaft daran, UEFI und ME aus Intel Rechnern herauszuwerfen.

Ein interessantes PDF mit Vortragsfolien: https://schd.ws/hosted_files/osseu17/84 ... 0Linux.pdf

Das PDF bietet noch keine fertige Lösung, gibt aber einen guten Einblick in die Problematik.
Der wesentliche Punkt ist, das durch UEFI und ME vollwertige Betriebssysteme mit Sicherheitslücken im Hintergrund laufen, die sich vom eigentlich gewollten System, bei uns debian, nicht kontrollieren lassen.
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.

BenutzerGa4gooPh

Re: Intel- Sicherheitslücke

Beitrag von BenutzerGa4gooPh » 24.11.2017 14:06:11

Etwas ausfuehrlicher und mit Links hat Heise berichtet: https://www.heise.de/security/meldung/I ... 95175.html
https://www.heise.de/security/meldung/I ... 00167.html

Allerdings gibt es noch was vom Fruehjahr 2017:
Betroffen sein können Systeme mit Core i7, Core i5, Core i3, Xeon, Pentium und Celeron, die seit 2010 auf den Markt kamen. Die Lücke klafft in den Firmwares für die AMT-Typen ab Version 6.
...
Das Risiko ist gering, wenn ein betroffenes System in einem Heimnetz arbeitet, dessen DSL-Router Zugriffe auf die von der Fernwartung genutzten Ports wie 16992 und 16993 aus dem Internet blockiert.
https://www.heise.de/ct/artikel/Tipps-z ... 04454.html

Bei einer Initiierung von Traffic LAN->WAN->NSA nutzen (Port-)Sperren WAN->LAN genau gar nichts. Die Intel ME ist offenbar nicht oeffentlich dokumentiert, ein Ausschalter fuer die "Guten", teils entschluesselt vom "Reich des Boesen" existiert: https://www.heise.de/security/meldung/I ... 14631.html

Intel-Patches sind nun Verbesserung oder wiederum abgesprochene Verdunkelung???

M. E. gute Reklame fuer AMD - vorerst ... :wink:

Benutzeravatar
Livingston
Beiträge: 1367
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: Intel- Sicherheitslücke

Beitrag von Livingston » 24.11.2017 23:02:39

Jana66 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 14:06:11
M. E. gute Reklame fuer AMD - vorerst ... :wink:
Guter Scherz, siehe auch https://libreboot.org/faq.html#amd-plat ... cessor-psp.
Die Damen und Herren AMDs bekommen da zu Recht so richtig ihr Fett ab. Ein Workaround für deren PSP (Platform Security Processor) wie der ME-Cleaner taucht noch nicht mal in der Ferne am Horizont auf.

Benutzeravatar
Profbunny
Beiträge: 592
Registriert: 04.04.2004 11:12:29
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Bautzen

Re: Intel- Sicherheitslücke

Beitrag von Profbunny » 25.11.2017 11:28:18

Code: Alles auswählen

source/downloads/SA00086_Linux# ./intel_sa00086.py 
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128
Scan date: 2017-11-25 10:00:50 GMT

*** Host Computer Information ***
Name: sysiphus
Manufacturer: System manufacturer
Model: System Product Name
Processor Name: Intel(R) Core(TM) i5-7600K CPU @ 3.80GHz
OS Version: debian buster/sid  (4.13.0-1-amd64)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.7.0.1229
SVN: 1

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware is considered vulnerable for INTEL-SA-00086.
Contact your system manufacturer for support and remediation of this system.


For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
ein Bios Update gibt es natürlich nicht, sondern nur ein ME Update Tool von Asus, allerdings nur für windows.
Board ist ein ASUS Z270-K mit Kabylake Prozi.
Rechner / Server Debian sid

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Intel- Sicherheitslücke

Beitrag von Lord_Carlos » 25.11.2017 12:11:57

MSI hat noch garnichts :P

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

slu
Beiträge: 2137
Registriert: 23.02.2005 23:58:47

Re: Intel- Sicherheitslücke

Beitrag von slu » 27.11.2017 11:48:56

Profbunny hat geschrieben: ↑ zum Beitrag ↑
25.11.2017 11:28:18
ein Bios Update gibt es natürlich nicht, sondern nur ein ME Update Tool von Asus, allerdings nur für windows.
Board ist ein ASUS Z270-K mit Kabylake Prozi.
Willkommen im Club:
viewtopic.php?f=13&t=167667

Mach am besten auch ein Ticket bei Asus auf, die Seriennummer kannst Du mit Debiandmidecode auslesen.
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: Intel- Sicherheitslücke

Beitrag von schwedenmann » 27.11.2017 12:41:29

Hallo


@profbunny
Wenn es denn schief geht, kann man das BIOS von extern wieder flashen, allerdings übersteigt das wohl meine Fähigkeiten/Möglichkeiten.
ich denke, einen geflashten Bioschip zu kaufen ist billiger und mit weniger Nervenkitzel verbunden.

mfg
schwedenmann

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Intel- Sicherheitslücke

Beitrag von hikaru » 08.12.2017 13:00:27

Auf Phoronix gab es gestern einen Artikel mit einem Reddit-Link, der darauf hinweist dass AMD seit kurzem eine UEFI-Option anbietet die es erlauben soll, Teile des PSP abzuschalten. [1] In manchen UEFI-Updates ist das wohl auch schon angekommen.
Hat jemand nähere Infos oder gar schon Erfahrungen dazu? Ideal wäre natürlich zu wissen, welche Teile dabei wirklich abgeschaltet werden (nicht laut AMDs Aussage, sondern unabhängig überprüfbar), aber so weit wage ich nicht mal zu träumen.

[1] https://www.phoronix.com/scan.php?page= ... ble-Option

Benutzeravatar
MartinV
Beiträge: 788
Registriert: 31.07.2015 19:38:52
Wohnort: Hyperion
Kontaktdaten:

Re: Intel- Sicherheitslücke

Beitrag von MartinV » 08.12.2017 13:08:38

hikaru hat geschrieben: ↑ zum Beitrag ↑
08.12.2017 13:00:27
Auf Phoronix gab es gestern einen Artikel mit einem Reddit-Link, der darauf hinweist dass AMD seit kurzem eine UEFI-Option anbietet die es erlauben soll, Teile des PSP abzuschalten.
Heise schreibt auch etwas: https://www.heise.de/newsticker/meldung ... 13635.html
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.

Antworten