MSI Cashback Aktion

Vier neue Sicherheitslücken in Intels Management Engine

reported by doelf, Freitag der 20.07.2018, 15:39:06 Uhr

Bei internen Überprüfungen hat Intel vier neue Sicherheitslücken in seiner Management Engine (ME) aufgespürt. Der schwerste Fehler, ein Pufferüberlauf im HTTP-Handler (CVE-2018-3628), ermöglicht externe Angriffe aus dem Subnetz. Auch ein zweiter Fehler (CVE-2018-3629) lässt sich von außen angreifen, er legt das Ziel per Denial of Service (DoS) lahm.

Was ist Intels Management Engine eigentlich?
Die ME ist ein eigenständiger Mikrocontroller, der über die permanent anliegende +5V-Schiene des Netzteils versorgt wird. Ist das Netzteil eingeschaltet, dann läuft auch die ME - selbst dann, wenn sich der PC eigentlich im Standby befindet. Die ME läuft auch im Hintergrund, wenn das Betriebssystem geladen ist. Sie kann auf den Arbeitsspeicher und die Tastatur zugreifen, den Netzwerkverkehr überwachen und die UEFI-Firmware (BIOS) verändern. Im Prinzip handelt es sich um einen gekapselten Rechner innerhalb des Prozessors, auf den weder der Benutzer noch das Betriebssystem zugreifen können. Es sei denn über Sicherheitslücken, welche die ME zu einem attraktiven Ziel für Kriminelle und Geheimdienste machen. Kritiker sehen in der proprietären und weitgehend undokumentierten Technologie eine allmächtige Hintertür.

Die vier neuen Sicherheitslücken
Glücklicherweise wurden die neuen Schwachstellen nicht von Kriminellen oder Geheimdiensten, sondern von Intel selbst im Rahmen einer internen Sicherheitsprüfung entdeckt. Alle vier Fehler sind ernst zu nehmen, allerdings geht vom Pufferüberlauf CVE-2018-3628 das mit Abstand größte Risiko aus:

  • CVE-2018-3628 (Risiko-Wertung: 8,1) - Ein Pufferüberlauf im HTTP-Handler der Active Management Technology ermöglicht es Angreifern im selben Subnetz, eigenen Code einzuschleusen und auszuführen. Dieses Problem steckt in den Firmware-Versionen 3.x bis 11.x und betrifft daher alle Core-Generationen, deren Vorgänger Core 2 Duo vPro und Centrino 2 vPro sowie die Xeon-Familien Greenlow, Purley und Basin Falls. Weitere Details gibt es bei Intel.

  • CVE-2018-3629 (Risiko-Wertung: 7,5) - Ein zweiter Pufferüberlauf im Ereignis-Handler der Active Management Technology ermöglicht Angreifern im selben Subnetz DoS-Angriffe. Auch dieser Fehler betrifft die Firmware-Versionen 3.x bis 11.x und somit alle Core-Generationen, deren Vorgänger Core 2 Duo vPro und Centrino 2 vPro sowie die Xeon-Familien Greenlow, Purley und Basin Falls. Weitere Details gibt es bei Intel.

  • CVE-2018-3627 (Risiko-Wertung: 7,5) - Ein Logikfehler in Intels Management Engine 11.x ermöglicht es lokalen Benutzern mit erweiterten Rechten, beliebigen Code auszuführen. Das Problem betrifft die Core-Prozessoren der Generationen 6 (Skylake), 7 (Kaby Lake) und 8 (Coffee Lake), die Xeon-CPUs der Baureihen E3-1200 v5 und v6 (Greenlow) sowie die Xeons aus der W-Familie (Basin Falls). Weitere Details gibt es bei Intel.

  • CVE-2018-3632 (Risiko-Wertung: 6,4) - Eine Speichermanipulation in der Active Management Technology lässt sich von einem Angreifer mit administrativen Rechten auf dem lokalen System provozieren. Über mögliche Auswirkungen sagt Intel leider nichts. Dieser Bug steckt in den Firmware-Versionen 6.x bis 11.20 und somit in allen Core-Generationen sowie die Xeon-Familien Greenlow, Purley und Basin Falls. Weitere Details gibt es bei Intel.

Die Gegenmaßnahmen
Intel hat bereits neue Firmware-Versionen geschnürt, welche die vier Fehler beseitigen. Sie tragen die Versionsnummern 9.1.43, 9.5.63, 10.0.57, 11.8.50, 11.11.50 und 11.21.51. Das hilft Betroffenen aber erst einmal gar nicht, denn Intel stellt diese Firmware-Updates nur seinen Hardware-Partnern zur Verfügung, welche die Verteilung dann übernehmen oder die Updates einfach ignorieren. Für Prozessoren mit einer ME der Generationen 3.x bis 8.x wird Intel gar keine Korrekturen bereitstellen - diese CPUs würden "nicht mehr unterstützt". Dies gilt auch für die Core-Generationen 1 bis 3, also bis einschließlich "Ivy Bridge".

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]