Abo
  • Services:

Firmware: Intel will ME-Downgrade-Attacken in Hardware verhindern

Als Reaktion auf die öffentlich bekannten Lücken in Intels Management Engine (ME) will Intel das Ausnutzen derartiger Lücken künftig erschweren. Dazu sollen in den kommenden Hardware- und ME-Generationen Downgrades in der Firmware verhindert werden. Das hilft wohl aber nicht immer.

Artikel veröffentlicht am ,
Die Intel ME ist auf fast allen aktuellen CPUs angreifbar.
Die Intel ME ist auf fast allen aktuellen CPUs angreifbar. (Bild: Martin Wolf/Golem.de)

In einem sogenannten Technical Advisory (TA) an seine OEM-Partner verweist Chip-Hersteller Intel auf eine Möglichkeit, wie künftig Downgrade-Angriffe auf die Management Engine (ME) durch spezielle Hardware verhindert werden sollen. Das vergleichsweise sehr kurz gehaltene und eigentlich als vertraulich bezeichnete TA steht auf Github (PDF) über die Community des Werkzeuges ME-Cleaner bereit. Darauf weist das britische Magazin The Register hin.

Stellenmarkt
  1. Technische Universität Darmstadt, Darmstadt
  2. ICS IT & Consulting Services GmbH, Frankfurt am Main

Diese Ankündigung ist offensichtlich eine Reaktion auf die in diesem Jahr gefundenen Lücken und Angriffe des Teams von Positive Technologies in der ME. Diese Erkenntnisse sind per Reverse Engineering aufgefunden worden und umfassen etwa die Information, dass Intels ME auf dem Betriebssystem Minix basiert oder dass die Firmware-Komponenten komplett übernommen werden kann.

Besonders gravierend ist dabei der auf der Black Hat Europe vorgestellte und vorher angekündigte Angriff in dem Boot-Up-Modul (Bup), wogegen auch das Deaktivieren der ME-Laufzeitkomponenten keine Abhilfe schafft. Intel hat diese Lücken bestätigt und stellt seinen Partnern Updates dafür bereit.

Darüber hinaus gibt es laut dem TA von Intel in den ME-Versionen 8 bis 11 trotz aller integrierten Schutzmaßnahmen immer die Möglichkeit, physisch mit einem speziellen Werkzeug (SPI Flash Programmer) die vorhandene ME-Version auf dem Rechner auf eine alte Version zurückzustellen. Das heißt, selbst wenn Firmware-Updates der OEM-Hersteller für die aktuell bekannten Lücken in der ME vorhanden sind und diese eingespielt werden, können Angreifer die ME-Version eines Rechners zurückspielen und entsprechend verwundbare Versionen ausnutzen.

Hardware-Absicherung gegen Downgrade

Gegen dieses Vorgehen will Intel nun mit Absicherungen in der Hardware vorgehen. Mit der kommenden Version 12 der Intel ME sollen die Sicherheitsversionsnummern (SVN) der ME bei jedem Update in einer Field Programmable Fuse (FPF) gespeichert werden. Jene Hardware-Bausteine lassen sich nur exakt einmal beschreiben. Die ME soll dann beim Boot ihre Versionsnummer mit jener SVN vergleichen, die in einer FPF gespeichert ist. Ist die Version der eingespielten ME älter als die in der Hardware gespeicherten SVN, soll die ME den Start verweigern. Beheben lässt sich dieses Verhalten nur durch das Einbringen einer neueren ME-Version per SPI Flash Programmer.

Möglich werden soll die Nutzung dieser Hardware-Sicherheitsfunktion ab der ME-Version 12 für Intels Cannon-Lake- und Coffee-Lake-Plattformen. Diese Funktion selbst wird wiederum ebenfalls über eine FPF dauerhaft aktiviert. Letzteres müssen die OEM-Partner von Intel jedoch aktiv unterstützen. Dieses Vorgehen wird von Intel zwar standardmäßig als "sehr empfehlenswert" bezeichnet, ist in den von Intel selbst bereitgestellten Werkzeugen für die ME-Programmierung bisher jedoch noch deaktiviert.

Mit künftigen Veröffentlichungen von Intels ME-Werkzeugen für seine OEM-Partner könnte die Funktion für Coffee Lake und Cannon Lake allerdings standardmäßig aktiviert werden, so dass die Firmware dann gegen Rollbacks geschützt wäre. Ein dauerhafter Schutz gegen Angriffe, wie diese etwa Positive Technologies demonstriert hat, ist die von Intel nun angedachte Lösung aber nicht.

Zwar wird damit ein Rollback von aktualisierten ME-Versionen auf bekannterweise verwundbare Versionen verhindert. Damit dieser Schutz aber auch wirkt, müssen Hersteller entsprechende Firmware-Updates bereitstellen und die Nutzer diese auch einspielen. Für den mit Abstand größten Teil der Hardware mit Intel-Chips, allen voran günstige Consumer-Geräte, wird dies wohl aber nie geschehen, wie die Erfahrung aus der Vergangenheit zeigt.

Darüber hinaus ist es theoretisch außerdem eventuell möglich, die Versionsnummer einer von Angreifern eingespielten ME-Version so zu manipulieren, dass diese eine neue aktualisierte Version fingiert. Wie realistisch dieses Szenario ist, muss sich aber noch zeigen.



Meistgelesen

Anzeige
Blu-ray-Angebote
  1. 7,99€ inkl. FSK-18-Versand
  2. 4,25€

daydreamer42 15. Dez 2017

Die Nachteile bei Intel sind bekannt: Der Einschaltknopf funktioniert nicht mehr, und...

Crass Spektakel 14. Dez 2017

Schlösser gehören in schöne Berglandschaften und nicht in meinen Desktop-PC. Im Ernst...

meee 14. Dez 2017

So wie die menschen bei Intel ....

divStar 14. Dez 2017

-------------------------------------------------------------------------------. Wieso...

daydreamer42 13. Dez 2017

Alles kompliziert zu machen ist die deutsche Krankheit. Anscheinend ist Intel von diesem...


Folgen Sie uns
       


Smartphones Made in Germany - Bericht

Gigaset baut Smartphones - in Deutschland.

Smartphones Made in Germany - Bericht Video aufrufen
Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

Youtube Music, Deezer und Amazon Music: Musikstreaming buchen ist auf dem iPhone teurer
Youtube Music, Deezer und Amazon Music
Musikstreaming buchen ist auf dem iPhone teurer

Wer seinen Musikstreamingdienst auf einem iPhone oder iPad bucht, muss oftmals mehr bezahlen als andere Kunden. Der Grund liegt darin, dass Apple - außer bei eigenen Diensten - einen Aufschlag von 30 Prozent behält. Spotify hat Konsequenzen gezogen.
Ein Bericht von Ingo Pakalski

  1. Filme und Serien Nutzung von kostenpflichtigem Streaming steigt stark an
  2. Highend-PC-Streaming Man kann sogar die Grafikkarte deaktivieren
  3. Golem.de-Livestream Halbgott oder Despot?

VR-Rundschau: Retten rockende Jedi-Ritter die virtuelle Realität?
VR-Rundschau
Retten rockende Jedi-Ritter die virtuelle Realität?

Der mediale Hype um VR ist zwar abgeflaut, spannende Inhalte dafür gibt es aber weiterhin - und das nicht nur im Games-Bereich. Mit dabei: das beliebteste Spiel bei Steam, Jedi-Ritter auf Speed und ägyptische Grabkammern.
Ein Test von Achim Fehrenbach

  1. Oculus Core 2.0 Windows 10 wird Minimalanforderung für Oculus Rift
  2. Virtual Reality BBC überträgt Fußball-WM in der virtuellen VIP-Loge
  3. VR-Brillen Google experimentiert mit Lichtfeldfotografie

    •  /