Firmware-Bug: Codeausführung in deaktivierter Intel-ME möglich

Sicherheitsforscher demonstrieren einen Angriff auf Intels ME zum Ausführen von beliebigem Code, gegen den weder das sogenannte Kill-Bit noch die von Google geplanten Sicherheitsmaßnahmen für seine Server helfen. Theoretisch lassen sich Geräte so auch aus der Ferne angreifen.

Artikel von Kristian Kißling/Linux Magazin und veröffentlicht am
Intels ME läuft auf dem Chipsatz aktueller Intel-Platformen wie hier in einem Razor-Laptop.
Intels ME läuft auf dem Chipsatz aktueller Intel-Platformen wie hier in einem Razor-Laptop. (Bild: Martin Wolf/Golem.de)

Auf der diesjährigen IT-Sicherheitskonferenz Black Hat Europe liefern die beiden Russen Mark Ermolov und Maxim Goryachy von Positive Technologies einen sehr unterhaltsamen Vortrag. Überstürzt von Folie zu Folie eilend (PDF), präsentierten sie die Ergebnisse ihrer jahrelangen Forschungen an Intels Management Engine (ME). Wie bereits vor Monaten von den Forschern angekündigt, können sie auf der Version 11 der ME über einen lokalen Exploit beliebigen unsignierten Code ausführen. Die Forscher zeigten in einem Demovideo, wie sie damit einen Rechner komplett übernehmen können.

Inhalt:
  1. Firmware-Bug: Codeausführung in deaktivierter Intel-ME möglich
  2. Komplizierter lokaler Angriff

Dazu nutzten sie eine Sicherheitslücke in einem Modul namens Bup aus, das in der Intel ME läuft und das ein Fehler im Code anfällig für einen Stack Buffer Overflow macht. Ausführbaren Code erzeugten die Hacker dann über eine spezielle Technik namens ROP (Return Oriented Programming).

ME deaktivieren hilft nicht gegen Angriff

Der Name Bup steht vermutlich für Bring-Up oder Boot-Up und ist keine jener Laufzeitkomponenten, die Google in seinem Nerf genannten Projekt entfernen oder deaktivieren kann. Darauf wies der Google-Angestellte und Coreboot-Gründer Ronald Minnich in einem Vortrag auf dem Open Source Summit in Prag hin. Das Bup-Modul ist zwingend für den Start des Systems notwendig.

Deshalb hilft gegen diese Lücke auch das Deaktivieren der ME über das sogenannte Killbit nicht, welches ebenfalls von Positive Technologies entdeckt worden ist und nun von den Linux-Hardware-Herstellern Purism und System 76 genutzt werden soll. Das schreibt die Sicherheitsforscherin und Gründerin des Qubes-Projekts Joanna Rutkowska auf Twitter.

Stellenmarkt
  1. Softwareentwickler / Frontend-Entwickler - Angular (m/w/d)
    in-GmbH, Konstanz
  2. Technologie- / Produktintegrator*in Digitale Transformation
    Deutsche Bundesbank, Frankfurt am Main
Detailsuche

Einige weitere Hersteller, darunter Dell, vertreiben ebenso Geräte mit deaktivierter ME, die jenes Kill-Bit verwenden. Laut den Forschern von Positive Technologies wird dieses Bit für das Programm High Assurance Platform (HAP) der US-Regierung genutzt und soll damit wohl kritische Bereiche und Nutzer schützen. Doch Bup wird einfach so früh geladen, dass das HAP-Bit hier keine Hilfe bietet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Komplizierter lokaler Angriff 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
CDU-Sicherheitslücke
Juristische Drohungen schaden der IT-Sicherheit

Dass eine Person, die verantwortungsvoll eine Sicherheitslücke gemeldet hat, dafür juristischen Ärger bekommt, ist fatal und schadet der IT-Sicherheit.
Ein IMHO von Hanno Böck

CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit
Artikel
  1. Kritik der Community: Microsoft schaltet Kommentare unter Windows-11-Video ab
    Kritik der Community
    Microsoft schaltet Kommentare unter Windows-11-Video ab

    In einem Youtube-Video verteidigt Microsoft die Bedingungen von Windows 11. Die Community ist außer sich, Kommentare werden geblockt.

  2. Connect-App: CDU zeigt offenbar Hackerin nach Melden von Lücken an
    Connect-App  
    CDU zeigt offenbar Hackerin nach Melden von Lücken an

    Nach dem Auffinden einer Lücke in einer CDU-App zeigt die Partei nun die Finderin an. Der CCC will deshalb keine Lücken mehr an die CDU melden.

  3. Datenübertragung: Flüssigkernfaser könnte Glasfaser ersetzen
    Datenübertragung
    Flüssigkernfaser könnte Glasfaser ersetzen

    Schweizer Forscher haben eine Faser entwickelt, die Daten genauso gut überträgt wie eine Glasfaser, aber dieser gegenüber Vorteile hat.

Izmir Übel 08. Dez 2017

Volle Zustimmung.

Izmir Übel 08. Dez 2017

...ist mein einziger privater Rechner am Netz ein alter P4 mit OpenBSD. Bei Betrachtung...

Anonymer Nutzer 08. Dez 2017

Nach dem vermurksten Zufallszahlengenerator, der die AES Verschlüsselung um Faktor 4...

Anonymer Nutzer 08. Dez 2017

und der letzte Hinterhof-Hacker-Depp ist mittlerweile auch sicher schon wach. Danke Intel!

Waishon 07. Dez 2017

Weiß zufällig jemand, ob es ein Video von dem Blackhat Talk "HOW TO HACK A TURNED-OFF...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • Robas Lund DX Racer Gaming-Stuhl 153,11€ • HyperX Cloud II Gaming-Headset 59€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 60 Jahre Saturn-Aktion [Werbung]
    •  /