Abo
  • Services:

Firmware: Intel will ME-Downgrade-Attacken in Hardware verhindern

Als Reaktion auf die öffentlich bekannten Lücken in Intels Management Engine (ME) will Intel das Ausnutzen derartiger Lücken künftig erschweren. Dazu sollen in den kommenden Hardware- und ME-Generationen Downgrades in der Firmware verhindert werden. Das hilft wohl aber nicht immer.

Artikel veröffentlicht am ,
Die Intel ME ist auf fast allen aktuellen CPUs angreifbar.
Die Intel ME ist auf fast allen aktuellen CPUs angreifbar. (Bild: Martin Wolf/Golem.de)

In einem sogenannten Technical Advisory (TA) an seine OEM-Partner verweist Chip-Hersteller Intel auf eine Möglichkeit, wie künftig Downgrade-Angriffe auf die Management Engine (ME) durch spezielle Hardware verhindert werden sollen. Das vergleichsweise sehr kurz gehaltene und eigentlich als vertraulich bezeichnete TA steht auf Github (PDF) über die Community des Werkzeuges ME-Cleaner bereit. Darauf weist das britische Magazin The Register hin.

Stellenmarkt
  1. Fachhochschule Südwestfalen, Hagen
  2. Vector Informatik GmbH, Stuttgart

Diese Ankündigung ist offensichtlich eine Reaktion auf die in diesem Jahr gefundenen Lücken und Angriffe des Teams von Positive Technologies in der ME. Diese Erkenntnisse sind per Reverse Engineering aufgefunden worden und umfassen etwa die Information, dass Intels ME auf dem Betriebssystem Minix basiert oder dass die Firmware-Komponenten komplett übernommen werden kann.

Besonders gravierend ist dabei der auf der Black Hat Europe vorgestellte und vorher angekündigte Angriff in dem Boot-Up-Modul (Bup), wogegen auch das Deaktivieren der ME-Laufzeitkomponenten keine Abhilfe schafft. Intel hat diese Lücken bestätigt und stellt seinen Partnern Updates dafür bereit.

Darüber hinaus gibt es laut dem TA von Intel in den ME-Versionen 8 bis 11 trotz aller integrierten Schutzmaßnahmen immer die Möglichkeit, physisch mit einem speziellen Werkzeug (SPI Flash Programmer) die vorhandene ME-Version auf dem Rechner auf eine alte Version zurückzustellen. Das heißt, selbst wenn Firmware-Updates der OEM-Hersteller für die aktuell bekannten Lücken in der ME vorhanden sind und diese eingespielt werden, können Angreifer die ME-Version eines Rechners zurückspielen und entsprechend verwundbare Versionen ausnutzen.

Hardware-Absicherung gegen Downgrade

Gegen dieses Vorgehen will Intel nun mit Absicherungen in der Hardware vorgehen. Mit der kommenden Version 12 der Intel ME sollen die Sicherheitsversionsnummern (SVN) der ME bei jedem Update in einer Field Programmable Fuse (FPF) gespeichert werden. Jene Hardware-Bausteine lassen sich nur exakt einmal beschreiben. Die ME soll dann beim Boot ihre Versionsnummer mit jener SVN vergleichen, die in einer FPF gespeichert ist. Ist die Version der eingespielten ME älter als die in der Hardware gespeicherten SVN, soll die ME den Start verweigern. Beheben lässt sich dieses Verhalten nur durch das Einbringen einer neueren ME-Version per SPI Flash Programmer.

Möglich werden soll die Nutzung dieser Hardware-Sicherheitsfunktion ab der ME-Version 12 für Intels Cannon-Lake- und Coffee-Lake-Plattformen. Diese Funktion selbst wird wiederum ebenfalls über eine FPF dauerhaft aktiviert. Letzteres müssen die OEM-Partner von Intel jedoch aktiv unterstützen. Dieses Vorgehen wird von Intel zwar standardmäßig als "sehr empfehlenswert" bezeichnet, ist in den von Intel selbst bereitgestellten Werkzeugen für die ME-Programmierung bisher jedoch noch deaktiviert.

Mit künftigen Veröffentlichungen von Intels ME-Werkzeugen für seine OEM-Partner könnte die Funktion für Coffee Lake und Cannon Lake allerdings standardmäßig aktiviert werden, so dass die Firmware dann gegen Rollbacks geschützt wäre. Ein dauerhafter Schutz gegen Angriffe, wie diese etwa Positive Technologies demonstriert hat, ist die von Intel nun angedachte Lösung aber nicht.

Zwar wird damit ein Rollback von aktualisierten ME-Versionen auf bekannterweise verwundbare Versionen verhindert. Damit dieser Schutz aber auch wirkt, müssen Hersteller entsprechende Firmware-Updates bereitstellen und die Nutzer diese auch einspielen. Für den mit Abstand größten Teil der Hardware mit Intel-Chips, allen voran günstige Consumer-Geräte, wird dies wohl aber nie geschehen, wie die Erfahrung aus der Vergangenheit zeigt.

Darüber hinaus ist es theoretisch außerdem eventuell möglich, die Versionsnummer einer von Angreifern eingespielten ME-Version so zu manipulieren, dass diese eine neue aktualisierte Version fingiert. Wie realistisch dieses Szenario ist, muss sich aber noch zeigen.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. bei Caseking kaufen
  3. bei Alternate kaufen

daydreamer42 15. Dez 2017

Die Nachteile bei Intel sind bekannt: Der Einschaltknopf funktioniert nicht mehr, und...

Crass Spektakel 14. Dez 2017

Schlösser gehören in schöne Berglandschaften und nicht in meinen Desktop-PC. Im Ernst...

meee 14. Dez 2017

So wie die menschen bei Intel ....

divStar 14. Dez 2017

-------------------------------------------------------------------------------. Wieso...

daydreamer42 13. Dez 2017

Alles kompliziert zu machen ist die deutsche Krankheit. Anscheinend ist Intel von diesem...


Folgen Sie uns
       


Red Dead Redemption in 4K - Grafikvergleich

Wir haben Red Dead Redemption in 4K auf der Xbox One X angespielt und zeigen unseren Grafikvergleich mit der Originalfassung.

Red Dead Redemption in 4K - Grafikvergleich Video aufrufen
Kailh KS-Switch im Test: Die bessere Alternative zu Cherrys MX Blue
Kailh KS-Switch im Test
Die bessere Alternative zu Cherrys MX Blue

Der chinesische Hersteller Kailh fertigt seit fast 30 Jahren verschiedenste Arten von Schaltern, unter anderem auch Klone von Cherry-MX-Switches für Tastaturen. Der KS-Switch mit goldenem Stempel und markantem Klick ist dabei die bessere Alternative zu Cherrys eigenem MX Blue, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Apple-Patent Krümel sollen Macbook-Tastatur nicht mehr stören
  2. Tastaturen Matias bringt Alternative zum Apple Wired Keyboard
  3. Rubberdome-Tastaturen im Test Das Gummi ist nicht dein Feind

Projektoren im Vergleichstest: 4K-Beamer für unter 2K Euro
Projektoren im Vergleichstest
4K-Beamer für unter 2K Euro

Bildschirme mit UHD- und 4K-Auflösung sind in den vergangenen Jahren immer preiswerter geworden. Seit 2017 gibt es den Trend zu hoher Pixelzahl und niedrigem Preis auch bei Projektoren. Wir haben vier von ihnen getestet und stellen am Ende die Sinnfrage.
Ein Test von Martin Wolf

  1. Sony MP-CD1 Taschenbeamer mit Akku und USB-C-Stromversorgung
  2. Mirraviz Multiview Splitscreen-Games spielen ohne die Möglichkeit, zu schummeln
  3. Sony LSPX-A1 30.000-Dollar-Beamer strahlt 80 Zoll aus 0 cm Entfernung

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


      •  /