Abo
  • IT-Karriere:

Firmware: Intel will ME-Downgrade-Attacken in Hardware verhindern

Als Reaktion auf die öffentlich bekannten Lücken in Intels Management Engine (ME) will Intel das Ausnutzen derartiger Lücken künftig erschweren. Dazu sollen in den kommenden Hardware- und ME-Generationen Downgrades in der Firmware verhindert werden. Das hilft wohl aber nicht immer.

Artikel veröffentlicht am ,
Die Intel ME ist auf fast allen aktuellen CPUs angreifbar.
Die Intel ME ist auf fast allen aktuellen CPUs angreifbar. (Bild: Martin Wolf/Golem.de)

In einem sogenannten Technical Advisory (TA) an seine OEM-Partner verweist Chip-Hersteller Intel auf eine Möglichkeit, wie künftig Downgrade-Angriffe auf die Management Engine (ME) durch spezielle Hardware verhindert werden sollen. Das vergleichsweise sehr kurz gehaltene und eigentlich als vertraulich bezeichnete TA steht auf Github (PDF) über die Community des Werkzeuges ME-Cleaner bereit. Darauf weist das britische Magazin The Register hin.

Stellenmarkt
  1. Hasso-Plattner-Institut für Digital Engineering gGmbH, Potsdam
  2. RSG Group GmbH, Berlin

Diese Ankündigung ist offensichtlich eine Reaktion auf die in diesem Jahr gefundenen Lücken und Angriffe des Teams von Positive Technologies in der ME. Diese Erkenntnisse sind per Reverse Engineering aufgefunden worden und umfassen etwa die Information, dass Intels ME auf dem Betriebssystem Minix basiert oder dass die Firmware-Komponenten komplett übernommen werden kann.

Besonders gravierend ist dabei der auf der Black Hat Europe vorgestellte und vorher angekündigte Angriff in dem Boot-Up-Modul (Bup), wogegen auch das Deaktivieren der ME-Laufzeitkomponenten keine Abhilfe schafft. Intel hat diese Lücken bestätigt und stellt seinen Partnern Updates dafür bereit.

Darüber hinaus gibt es laut dem TA von Intel in den ME-Versionen 8 bis 11 trotz aller integrierten Schutzmaßnahmen immer die Möglichkeit, physisch mit einem speziellen Werkzeug (SPI Flash Programmer) die vorhandene ME-Version auf dem Rechner auf eine alte Version zurückzustellen. Das heißt, selbst wenn Firmware-Updates der OEM-Hersteller für die aktuell bekannten Lücken in der ME vorhanden sind und diese eingespielt werden, können Angreifer die ME-Version eines Rechners zurückspielen und entsprechend verwundbare Versionen ausnutzen.

Hardware-Absicherung gegen Downgrade

Gegen dieses Vorgehen will Intel nun mit Absicherungen in der Hardware vorgehen. Mit der kommenden Version 12 der Intel ME sollen die Sicherheitsversionsnummern (SVN) der ME bei jedem Update in einer Field Programmable Fuse (FPF) gespeichert werden. Jene Hardware-Bausteine lassen sich nur exakt einmal beschreiben. Die ME soll dann beim Boot ihre Versionsnummer mit jener SVN vergleichen, die in einer FPF gespeichert ist. Ist die Version der eingespielten ME älter als die in der Hardware gespeicherten SVN, soll die ME den Start verweigern. Beheben lässt sich dieses Verhalten nur durch das Einbringen einer neueren ME-Version per SPI Flash Programmer.

Möglich werden soll die Nutzung dieser Hardware-Sicherheitsfunktion ab der ME-Version 12 für Intels Cannon-Lake- und Coffee-Lake-Plattformen. Diese Funktion selbst wird wiederum ebenfalls über eine FPF dauerhaft aktiviert. Letzteres müssen die OEM-Partner von Intel jedoch aktiv unterstützen. Dieses Vorgehen wird von Intel zwar standardmäßig als "sehr empfehlenswert" bezeichnet, ist in den von Intel selbst bereitgestellten Werkzeugen für die ME-Programmierung bisher jedoch noch deaktiviert.

Mit künftigen Veröffentlichungen von Intels ME-Werkzeugen für seine OEM-Partner könnte die Funktion für Coffee Lake und Cannon Lake allerdings standardmäßig aktiviert werden, so dass die Firmware dann gegen Rollbacks geschützt wäre. Ein dauerhafter Schutz gegen Angriffe, wie diese etwa Positive Technologies demonstriert hat, ist die von Intel nun angedachte Lösung aber nicht.

Zwar wird damit ein Rollback von aktualisierten ME-Versionen auf bekannterweise verwundbare Versionen verhindert. Damit dieser Schutz aber auch wirkt, müssen Hersteller entsprechende Firmware-Updates bereitstellen und die Nutzer diese auch einspielen. Für den mit Abstand größten Teil der Hardware mit Intel-Chips, allen voran günstige Consumer-Geräte, wird dies wohl aber nie geschehen, wie die Erfahrung aus der Vergangenheit zeigt.

Darüber hinaus ist es theoretisch außerdem eventuell möglich, die Versionsnummer einer von Angreifern eingespielten ME-Version so zu manipulieren, dass diese eine neue aktualisierte Version fingiert. Wie realistisch dieses Szenario ist, muss sich aber noch zeigen.



Anzeige
Top-Angebote
  1. 10,99€ (ohne Prime oder unter 29€ + Versand)
  2. (u. a. Samsung U32J590UQU UHD-Monitor + Xbox One S 1 TB Bundle mit The Division 2 oder Minecraft...
  3. (u. a. WD Elements Desktop 4 TB für 82,99€)

daydreamer42 15. Dez 2017

Die Nachteile bei Intel sind bekannt: Der Einschaltknopf funktioniert nicht mehr, und...

Crass Spektakel 14. Dez 2017

Schlösser gehören in schöne Berglandschaften und nicht in meinen Desktop-PC. Im Ernst...

meee 14. Dez 2017

So wie die menschen bei Intel ....

divStar 14. Dez 2017

-------------------------------------------------------------------------------. Wieso...

daydreamer42 13. Dez 2017

Alles kompliziert zu machen ist die deutsche Krankheit. Anscheinend ist Intel von diesem...


Folgen Sie uns
       


Katamaran Energy Observer angesehen

Die Energy Observer ist ein Schiff, das ausschließlich mit erneuerbaren Energien betrieben wird und seinen Treibstoff zum Teil selbst produziert. Wir haben es in Hamburg besucht.

Katamaran Energy Observer angesehen Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Azure Speech Service: Microsofts Demos entstehen im fensterlosen Nerd-Keller
Azure Speech Service
Microsofts Demos entstehen im fensterlosen Nerd-Keller

Build 2019 Moderne Architektur, große Fenster, ein Zen-Garten: Microsofts Campus wirkt außen modern und aufgeräumt. Präsentationen entstehen trotzdem in einem fensterlosen Raum, in dem sich Hardware und Werkzeug stapeln. Microsoft zeigt dort auch eine ungeskriptete Version seiner Spracherkennungssoftware.
Von Oliver Nickel

  1. Beta Writer Algorithmus schreibt wissenschaftliches Buch
  2. Google Neuer KI-Rat soll Googles ethische Richtlinien umsetzen
  3. Affectiva KI erkennt die Gefühle von Autofahrern

Das andere How-to: Deutsch lernen für Programmierer
Das andere How-to
Deutsch lernen für Programmierer

Programmierer schlagen sich ständig mit der Syntax und Semantik von Programmiersprachen herum. Der US-Amerikaner Mike Stipicevic hat aus der Not eine Tugend gemacht und nutzt sein Wissen über obskure Grammatiken, um Deutsch zu lernen.
Von Mike Stipicevic

  1. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  2. Software-Entwickler Welche Programmiersprache soll ich lernen?

    •  /