Firmware-Bug: Codeausführung in deaktivierter Intel-ME möglich
Sicherheitsforscher demonstrieren einen Angriff auf Intels ME zum Ausführen von beliebigem Code, gegen den weder das sogenannte Kill-Bit noch die von Google geplanten Sicherheitsmaßnahmen für seine Server helfen. Theoretisch lassen sich Geräte so auch aus der Ferne angreifen.

Auf der diesjährigen IT-Sicherheitskonferenz Black Hat Europe liefern die beiden Russen Mark Ermolov und Maxim Goryachy von Positive Technologies einen sehr unterhaltsamen Vortrag. Überstürzt von Folie zu Folie eilend (PDF), präsentierten sie die Ergebnisse ihrer jahrelangen Forschungen an Intels Management Engine (ME). Wie bereits vor Monaten von den Forschern angekündigt, können sie auf der Version 11 der ME über einen lokalen Exploit beliebigen unsignierten Code ausführen. Die Forscher zeigten in einem Demovideo, wie sie damit einen Rechner komplett übernehmen können.
- Firmware-Bug: Codeausführung in deaktivierter Intel-ME möglich
- Komplizierter lokaler Angriff
Dazu nutzten sie eine Sicherheitslücke in einem Modul namens Bup aus, das in der Intel ME läuft und das ein Fehler im Code anfällig für einen Stack Buffer Overflow macht. Ausführbaren Code erzeugten die Hacker dann über eine spezielle Technik namens ROP (Return Oriented Programming).
ME deaktivieren hilft nicht gegen Angriff
Der Name Bup steht vermutlich für Bring-Up oder Boot-Up und ist keine jener Laufzeitkomponenten, die Google in seinem Nerf genannten Projekt entfernen oder deaktivieren kann. Darauf wies der Google-Angestellte und Coreboot-Gründer Ronald Minnich in einem Vortrag auf dem Open Source Summit in Prag hin. Das Bup-Modul ist zwingend für den Start des Systems notwendig.
Deshalb hilft gegen diese Lücke auch das Deaktivieren der ME über das sogenannte Killbit nicht, welches ebenfalls von Positive Technologies entdeckt worden ist und nun von den Linux-Hardware-Herstellern Purism und System 76 genutzt werden soll. Das schreibt die Sicherheitsforscherin und Gründerin des Qubes-Projekts Joanna Rutkowska auf Twitter.
Einige weitere Hersteller, darunter Dell, vertreiben ebenso Geräte mit deaktivierter ME, die jenes Kill-Bit verwenden. Laut den Forschern von Positive Technologies wird dieses Bit für das Programm High Assurance Platform (HAP) der US-Regierung genutzt und soll damit wohl kritische Bereiche und Nutzer schützen. Doch Bup wird einfach so früh geladen, dass das HAP-Bit hier keine Hilfe bietet.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Komplizierter lokaler Angriff |
- 1
- 2
Volle Zustimmung.
...ist mein einziger privater Rechner am Netz ein alter P4 mit OpenBSD. Bei Betrachtung...
Nach dem vermurksten Zufallszahlengenerator, der die AES Verschlüsselung um Faktor 4...
und der letzte Hinterhof-Hacker-Depp ist mittlerweile auch sicher schon wach. Danke Intel!