In Intels Chipsätzen für die Core-Prozessoren steckt ein eigenständiger, proprietärer und programmierbarer Mikrocontroller, der unabhängig vom Prozessor arbeitet. Diese "Management Engine" (ME), welche es in verschiedenen Ausprägungen gibt, dient zur Systemverwaltung und Wartung. Sie ist aber auch ein ziemlich undurchsichtiger Zeitgenosse, dessen Details Intel unter Verschluss hält. Doch nun hat Intel eine kritische Rechtsausweitung in der ME-Firmware entdeckt.

Das Problem

Angreifer können diese Rechteausweitung bei aktivierter Fernwartung ausnutzen, um die Kontrolle über die Management-Funktionen zu erlangen. Betroffen sind die Firmware-Generationen 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 und 11.6, welche den Core-Generationen von 1 bis 7 entsprechen. Bei den ME-Varianten "Intel Active Management Technology" (AMT) und Intel Standard Manageability (ISM) kann der Angriff aus der Ferne erfolgen, während sich die "Intel Small Business Technology" (SBT) nur von lokalen Benutzern übernehmen lässt. Ist die Fernwartung deaktiviert, passiert laut Intel gar nichts. Auch bei Endkunden-Geräten tritt das Problem nicht auf, da die Verwaltungsmöglichkeiten hier weit weniger ausgeprägt sind.

Ist mein Rechner betroffen?

Für die Diagnose des eigenen Systems muss man die Software Intel SCS System Discovery Utility herunterladen und in einer Eingabeaufforderung mit administrativen Rechten über den Aufruf "SCSDiscovery.exe SystemDiscovery" ausführen. Das Programm legt in seinem Ausführungsverzeichnis eine XML-Datei an. Enthält diese im Abschnitt <ManageabilityInfo> einen Unterpunkt namens <AMTSSKU>, ist der Rechner verwundbar. Fehlt der Eintrag, darf man sich beruhigt zurücklehnen - zumindest, bis die nächste Sicherheitslücke gefunden wird.

Lösungsmöglichkeiten

Abhilfe schafft ein Update auf die Firmware-Versionen 6.2.61.3535 oder neuer, 7.1.91.3272 oder neuer, 8.1.71.3608 oder neuer, 9.1.41.3024 oder neuer, 9.5.61.3012 oder neuer, 10.0.55.3000 oder neuer, 11.0.25.3001 oder neuer bzw. 11.6.27.3264 oder neuer. Ist keine neue Firmware erhältlich, sollte man unter Windows den Dienst "Intel Management and Security Application Local Management Service (LMS)" deaktivieren. In einer Eingabeaufforderung mit administrativen Rechten kann man LMS über den Befehl "sc config LMS start=disabled" deaktivieren oder über "sc delete LMS" entfernen. Das verantwortliche Programm "LMS.exe" bleibt indes erhalten, es sei denn man löscht es per Hand. Da ein Administrator LMS jederzeit wiederherstellen kann, ist ein Firmware-Update eindeutig die bessere Alternative.