• IT-Karriere:
  • Services:

Komplizierter lokaler Angriff

Das Vorgehen zum Ausnutzen der Lücken ist mit einigem Aufwand verbunden, doch wer die Lücke lokal ausnutzt, kann praktisch sämtliche Sicherheitsmechanismen moderner Betriebssysteme aushebeln, weil die Management Engine schlicht unterhalb der OS-Ebene läuft. Und durch den direkten Angriff und folgenden Zugriff auf die ME ergibt sich daraus nicht nur Vollzugriff auf das laufende Betriebssystem, sondern möglicherweise auch auf eigentlich besonders geschützte Bereiche der ME, in der etwa Passwörter oder private Schlüssel verarbeitet werden. Wegen dieser theoretischen Möglichkeit wird die ME von vielen Kritikern als Hintertür bezeichnet.

Stellenmarkt
  1. Hochland Deutschland GmbH, Heimenkirch, Schongau
  2. W.I.S. Sicherheit + Service GmbH & Co KG, Köln

Der lokale Angreifer benötigt für einen erfolgreichen Angriff über die beschriebene Lücke allerdings Zugriff auf die MFS-Partition in der ME-SPI-Region. Der Code der Intel ME ebenso wie weitere Firmware-Komponenten des UEFI oder für Gigabit-Ethernet werden in einem SPI-Flash-Speicher auf dem Board eines Rechners abgelegt. Details zu dem Aufbau liefert ein Hintergrundtext der Forscher (PDF).

Theoretisch lässt sich die Lücke auch aus der Ferne ausnutzen, dazu müssen allerdings ein paar weitere Bedingungen erfüllt sein. Ebenso müssen hierzu einige weitere Fehler in der ME oder im UEFI ausgenutzt werden. Eine wichtige Voraussetzung hierfür, eine Lücke in Intel AMT, das auf ME aufbaut, haben die Forscher von Positive Technologies ebenfalls bereits gefunden und dokumentiert.

Intel hat die auf der Black Hat vorgestellte Lücke inzwischen zwar bestätigt und den Forschern eine Prämie dafür ausgezahlt sowie die Lücke durch Updates behoben. Ein lokaler Angreifer kann allerdings immer per Downgrade eine ältere verwundbare Version der ME einspielen. Für den demonstrierten Angriff nutzen Forscher Lücken, für die die CVE-Nummern CVE-2017-5705, CVE-2017-5706 und CVE-2017-5707 vergeben worden sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Firmware-Bug: Codeausführung in deaktivierter Intel-ME möglich
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Izmir Übel 08. Dez 2017

Volle Zustimmung.

Izmir Übel 08. Dez 2017

...ist mein einziger privater Rechner am Netz ein alter P4 mit OpenBSD. Bei Betrachtung...

Anonymer Nutzer 08. Dez 2017

Nach dem vermurksten Zufallszahlengenerator, der die AES Verschlüsselung um Faktor 4...

Anonymer Nutzer 08. Dez 2017

und der letzte Hinterhof-Hacker-Depp ist mittlerweile auch sicher schon wach. Danke Intel!

Waishon 07. Dez 2017

Weiß zufällig jemand, ob es ein Video von dem Blackhat Talk "HOW TO HACK A TURNED-OFF...


Folgen Sie uns
       


    •  /