Abo
  • Services:

Firmware: Intel will ME-Downgrade-Attacken in Hardware verhindern

Als Reaktion auf die öffentlich bekannten Lücken in Intels Management Engine (ME) will Intel das Ausnutzen derartiger Lücken künftig erschweren. Dazu sollen in den kommenden Hardware- und ME-Generationen Downgrades in der Firmware verhindert werden. Das hilft wohl aber nicht immer.

Artikel veröffentlicht am ,
Die Intel ME ist auf fast allen aktuellen CPUs angreifbar.
Die Intel ME ist auf fast allen aktuellen CPUs angreifbar. (Bild: Martin Wolf/Golem.de)

In einem sogenannten Technical Advisory (TA) an seine OEM-Partner verweist Chip-Hersteller Intel auf eine Möglichkeit, wie künftig Downgrade-Angriffe auf die Management Engine (ME) durch spezielle Hardware verhindert werden sollen. Das vergleichsweise sehr kurz gehaltene und eigentlich als vertraulich bezeichnete TA steht auf Github (PDF) über die Community des Werkzeuges ME-Cleaner bereit. Darauf weist das britische Magazin The Register hin.

Stellenmarkt
  1. über duerenhoff GmbH, Hanau
  2. Bosch Gruppe, Stuttgart

Diese Ankündigung ist offensichtlich eine Reaktion auf die in diesem Jahr gefundenen Lücken und Angriffe des Teams von Positive Technologies in der ME. Diese Erkenntnisse sind per Reverse Engineering aufgefunden worden und umfassen etwa die Information, dass Intels ME auf dem Betriebssystem Minix basiert oder dass die Firmware-Komponenten komplett übernommen werden kann.

Besonders gravierend ist dabei der auf der Black Hat Europe vorgestellte und vorher angekündigte Angriff in dem Boot-Up-Modul (Bup), wogegen auch das Deaktivieren der ME-Laufzeitkomponenten keine Abhilfe schafft. Intel hat diese Lücken bestätigt und stellt seinen Partnern Updates dafür bereit.

Darüber hinaus gibt es laut dem TA von Intel in den ME-Versionen 8 bis 11 trotz aller integrierten Schutzmaßnahmen immer die Möglichkeit, physisch mit einem speziellen Werkzeug (SPI Flash Programmer) die vorhandene ME-Version auf dem Rechner auf eine alte Version zurückzustellen. Das heißt, selbst wenn Firmware-Updates der OEM-Hersteller für die aktuell bekannten Lücken in der ME vorhanden sind und diese eingespielt werden, können Angreifer die ME-Version eines Rechners zurückspielen und entsprechend verwundbare Versionen ausnutzen.

Hardware-Absicherung gegen Downgrade

Gegen dieses Vorgehen will Intel nun mit Absicherungen in der Hardware vorgehen. Mit der kommenden Version 12 der Intel ME sollen die Sicherheitsversionsnummern (SVN) der ME bei jedem Update in einer Field Programmable Fuse (FPF) gespeichert werden. Jene Hardware-Bausteine lassen sich nur exakt einmal beschreiben. Die ME soll dann beim Boot ihre Versionsnummer mit jener SVN vergleichen, die in einer FPF gespeichert ist. Ist die Version der eingespielten ME älter als die in der Hardware gespeicherten SVN, soll die ME den Start verweigern. Beheben lässt sich dieses Verhalten nur durch das Einbringen einer neueren ME-Version per SPI Flash Programmer.

Möglich werden soll die Nutzung dieser Hardware-Sicherheitsfunktion ab der ME-Version 12 für Intels Cannon-Lake- und Coffee-Lake-Plattformen. Diese Funktion selbst wird wiederum ebenfalls über eine FPF dauerhaft aktiviert. Letzteres müssen die OEM-Partner von Intel jedoch aktiv unterstützen. Dieses Vorgehen wird von Intel zwar standardmäßig als "sehr empfehlenswert" bezeichnet, ist in den von Intel selbst bereitgestellten Werkzeugen für die ME-Programmierung bisher jedoch noch deaktiviert.

Mit künftigen Veröffentlichungen von Intels ME-Werkzeugen für seine OEM-Partner könnte die Funktion für Coffee Lake und Cannon Lake allerdings standardmäßig aktiviert werden, so dass die Firmware dann gegen Rollbacks geschützt wäre. Ein dauerhafter Schutz gegen Angriffe, wie diese etwa Positive Technologies demonstriert hat, ist die von Intel nun angedachte Lösung aber nicht.

Zwar wird damit ein Rollback von aktualisierten ME-Versionen auf bekannterweise verwundbare Versionen verhindert. Damit dieser Schutz aber auch wirkt, müssen Hersteller entsprechende Firmware-Updates bereitstellen und die Nutzer diese auch einspielen. Für den mit Abstand größten Teil der Hardware mit Intel-Chips, allen voran günstige Consumer-Geräte, wird dies wohl aber nie geschehen, wie die Erfahrung aus der Vergangenheit zeigt.

Darüber hinaus ist es theoretisch außerdem eventuell möglich, die Versionsnummer einer von Angreifern eingespielten ME-Version so zu manipulieren, dass diese eine neue aktualisierte Version fingiert. Wie realistisch dieses Szenario ist, muss sich aber noch zeigen.



Anzeige
Top-Angebote
  1. (u. a. Just Cause 4 für PC/PS4/Xbox 25,00€)
  2. 18,99€ (nur für Prime-Kunden)
  3. 99,00€ (bei otto.de)
  4. 54,99€

daydreamer42 15. Dez 2017

Die Nachteile bei Intel sind bekannt: Der Einschaltknopf funktioniert nicht mehr, und...

Crass Spektakel 14. Dez 2017

Schlösser gehören in schöne Berglandschaften und nicht in meinen Desktop-PC. Im Ernst...

meee 14. Dez 2017

So wie die menschen bei Intel ....

divStar 14. Dez 2017

-------------------------------------------------------------------------------. Wieso...

daydreamer42 13. Dez 2017

Alles kompliziert zu machen ist die deutsche Krankheit. Anscheinend ist Intel von diesem...


Folgen Sie uns
       


Microsoft Hololens 2 - Hands on (MWC 2019)

Die Hololens 2 ist Microsofts zweites AR-Headset. Im ersten Kurztest von Golem.de überzeugt das Gerät vor allem durch das merklich größere Sichtfeld.

Microsoft Hololens 2 - Hands on (MWC 2019) Video aufrufen
Security: Vernetzte Autos sicher machen
Security
Vernetzte Autos sicher machen

Moderne Autos sind rollende Computer mit drahtloser Internetverbindung. Je mehr davon auf der Straße herumfahren, desto interessanter werden sie für Hacker. Was tun Hersteller, um Daten der Insassen und Fahrfunktionen zu schützen?
Ein Bericht von Dirk Kunde

  1. Alarmsysteme Sicherheitslücke ermöglicht Übernahme von Autos
  2. Netzwerkanalyse Wireshark 3.0 nutzt Paketsniffer von Nmap
  3. Sicherheit Wie sich "Passwort zurücksetzen" missbrauchen lässt

Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
Mobile Bezahldienste
Wie sicher sind Apple Pay und Google Pay?

Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
Von Andreas Maisch

  1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
  2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
  3. Fintech Wirecard wird zur Smartphone-Bank

FreeNAS und Windows 10: Der erste NAS-Selbstbau macht glücklich
FreeNAS und Windows 10
Der erste NAS-Selbstbau macht glücklich

Es ist gar nicht so schwer, wie es aussieht: Mit dem Betriebssystem FreeNAS, den richtigen Hardwarekomponenten und Tutorials baue ich mir zum ersten Mal ein NAS-System auf und lerne auf diesem Weg viel darüber - auch warum es Spaß macht, selbst zu bauen, statt fertig zu kaufen.
Ein Erfahrungsbericht von Oliver Nickel

  1. TS-332X Qnaps Budget-NAS mit drei M.2-Slots und 10-GBit-Ethernet

    •  /