Intel-SA-00086 / Was ist ein Corporate SKU?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
linuxfandebian
Beiträge: 60
Registriert: 13.09.2010 17:19:19
Lizenz eigener Beiträge: MIT Lizenz

Intel-SA-00086 / Was ist ein Corporate SKU?

Beitrag von linuxfandebian » 04.02.2019 17:09:46

Hallo!

ich habe mir das Intel-SA-00086 Erkennungstool zur Diagnose heruntergeladen. Es zeigt an:

Code: Alles auswählen

INTEL-SA-00086 Detection Tool
Copyright(C) 2017-2018, Intel Corporation, All rights reserved.

Application Version: 1.2.7.0
Scan date: 2019-02-03 08:02:28 GMT

*** Host Computer Information ***
Name: debian
Manufacturer: CLEVO CO.
Model: W55xEU
Processor Name: Intel(R) Core(TM) i5-3210M CPU @ 2.50GHz
OS Version: debian 9.7  (4.9.0-8-amd64)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 8.1.0.1265
SVN: 0

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
  is considered vulnerable for INTEL-SA-00086.

  Contact your system manufacturer for support and remediation of this system.

For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
  Intel Security Advisory Intel-SA-00086 at the following link:
  https://www.intel.com/sa-00086-support
Gemäß dem Test "This system is vulnerable"

Nach der Dokumentation zum Intel-SA-00086 Erkennungstool sollen aber nur Corporate SKUs vulnerable sein.

2056

Meine Frage ist, woran erkenne ich, ob ich einen Corporate SKU habe?
debian bullseye 5.10.0-13-amd64 lxde

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Intel-SA-00086 / Was ist ein Corporate SKU?

Beitrag von hikaru » 04.02.2019 23:41:45

"Corporate SKUs" sind wohl die Business-CPUs, also Xeons, während die Endkundenprodukte eben so heißen: "Consumer SKUs"

Intels ME ist in allen Chipsätzen seit Nehalem enthalten. Intel behauptet, dass die Funktionalität der ME u.a. von diversen Sicherungen abhängt, von denen Intel bei Consumer SKUs einige absichtlich durchbrennt um die Funktionalität der ME einzuschränken. Diese durchgebrannten Sicherungen sollen dann als Nebeneffekt gewisse Angriffszenarien in's Leere laufen lassen.

Manch einer zweifelt an Intels Darstellung:
https://semiaccurate.com/2017/05/03/con ... t-exploit/

linuxfandebian
Beiträge: 60
Registriert: 13.09.2010 17:19:19
Lizenz eigener Beiträge: MIT Lizenz

Re: Intel-SA-00086 / Was ist ein Corporate SKU?

Beitrag von linuxfandebian » 05.02.2019 18:43:17

Danke für die Antwort.

Das o.g. Notebook habe ich Anfang 2013 ohne Betriebssystem gekauft und hatte stets linux installiert. Da ich vermutlich kein ME- bzw. BIOS-update mehr bekommen werde, dürfte der Rechner mithin weiter angreifbar sein.

Wäre es dann sinnvoll, besser einen neuen Rechner zu kaufen oder kann man das Risiko unter linux noch vertreten?
debian bullseye 5.10.0-13-amd64 lxde

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Intel-SA-00086 / Was ist ein Corporate SKU?

Beitrag von hikaru » 06.02.2019 11:08:17

linuxfandebian hat geschrieben: ↑ zum Beitrag ↑
05.02.2019 18:43:17
Das o.g. Notebook habe ich Anfang 2013 ohne Betriebssystem gekauft und hatte stets linux installiert. Da ich vermutlich kein ME- bzw. BIOS-update mehr bekommen werde, dürfte der Rechner mithin weiter angreifbar sein.
Das wird vermutlich so sein.
linuxfandebian hat geschrieben: ↑ zum Beitrag ↑
05.02.2019 18:43:17
Wäre es dann sinnvoll, besser einen neuen Rechner zu kaufen oder kann man das Risiko unter linux noch vertreten?
Die Frage ist unabhängig vom Betriebssystem und sogar unabhängig vom BIOS. Die ME arbeitet noch eine Stufe tiefer.
Ob Ersatz aus Sicherheitsgründen sinnvoll ist, hängt auch vom Ersatzgerät und dem betrachteten Angriffsszenario ab. Praktisch alle denkbaren Ersatzgeräte haben ebenfalls eine ME oder AMDs Pendant namens PSP. Ich erinnere mich dunkel an Bestrebungen von Purism, System76 und Tuxedo, Geräte mit von Hause aus deaktivierter ME zu liefern, aber da bin ich nicht auf dem Laufenden.
Da die ME aber gebraucht wird, um die CPU überhaupt (stabil) betreiben zu können und Intel für ein paar Klitschen sicher keine eigene Produktionslinie fahren wird, macht diese "Deakivierung" sicher nicht mehr, als der ME Cleaner, welcher eigentlich nur ein paar Funktionen aus der ME herauspatchen soll.
Das mag gegen Angriffe von Dritten helfen, erfordert aber weiterhin, dass du Intel (bzw. AMD) grundsätzlich vertraust, keinen Schindluder zu treiben.

Antworten