Abo
  • Services:
Anzeige
Wafer mit KBL-Chips
Wafer mit KBL-Chips (Bild: Marc Sauter/Golem.de)

Intel Active Management Technology: Kritische Sicherheitslücke in Serverchips ab Nehalem-Serie

Wafer mit KBL-Chips
Wafer mit KBL-Chips (Bild: Marc Sauter/Golem.de)

Millionen verkaufte Serverchips von Intel sind, zumindest theoretisch, für eine kritische Sicherheitslücke verwundbar. Betroffen sind Chips ab der Nehalem-Serie bis hin zu Kaby Lake. Kunden können relativ einfach herausfinden, ob sie betroffen sind oder nicht.

Der Chiphersteller Intel hat eine kritische Sicherheitslücke in Millionen seit 2008 verkauften Prozessoren bestätigt. Betroffen sind Serverchips seit der Nehalem-Serie aus dem Jahr 2008 bis hin zu den aktuellen Kaby-Lake-Varianten, wenn diese Intels Active Management Technology (AMT), Intel Small Business Technology (SBT) und Intel Standard Manageability (ISM) einsetzen.

Anzeige

Kunden müssten AMT selbst aktivieren, um für die Sicherheitslücke verwundbar zu sein. In einem Dokument beschreibt Intel, wie Nutzer den Status ihrer eigenen Rechner überprüfen können. Consumer-Systeme sind nach derzeitigem Kenntnisstand nicht betroffen.

  • Übersicht verwundbarer Systeme (Bild: Intel/Screenshot Golem.de)
Übersicht verwundbarer Systeme (Bild: Intel/Screenshot Golem.de)

Die verwundbaren Firmware-Versionen sind nach Angaben von Intel 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 und 11.6. Die Sicherheitslücke ermöglicht einem unprivilegierten Angreifer den Zugriff auf Intels Managementkonsole. Je nach Konfiguration kann dieser Zugriff über eine Konsole oder über eine grafische Benutzeroberfläche laufen. Intel hat einen Patch bereitgestellt, der jedoch von den Serverherstellern selbst implementiert und verteilt werden muss. Die entsprechenden Firmware-Versionen haben eine Build-Nummer, die im letzten Abschnitt vierstellig ist und mit einer drei beginnt.

Nach Angaben von Matthew Garret von Google ist zumindest der Konsolenzugriff auch auf Linux-Rechnern möglich, andere Sicherheitsforscher wie HD Moore widersprechen dieser These bei Ars Technica, weil ein Zugriff voraussetze, dass Intels Windows-basierte Software Local Manageability Service auf dem System läuft. Klar ist: Damit ein System aus der Ferne verwundbar ist, müssen die Ports 16992 oder 16993 geöffnet sein. Ein entsprechender Scan im eigenen Netzwerk kann daher schnell für Aufklärung sorgen.

Wartungsfunktionen für große Netzwerke

Über AMT können verschieden Befehle ausgeführt werden, die vor allem zur Wartung größerer Netzwerke eingesetzt werden. Neben Kommandos wie einem Shutdown kann über AMT aber auch eine ISO-Datei gemountet werden. Eine dauerhafte (persistente) Infektion eines Systems dürfte jedoch bei korrekt konfiguriertem Bios mit Passwortschutz und aktivem Secureboot kaum möglich sein.

Intels AMT ist in den Profi-Chips seit Nehalem angelegt, muss jedoch vom Hersteller eines Systems separat lizenziert werden. Weil zum Beispiel Apple dies nicht getan hat, sind Apple-Rechner nach derzeitigem Kenntnisstand nicht von der Sicherheitslücke betroffen. Weil Updates vom jeweiligen Hersteller signiert werden müssen, um akzeptiert zu werden, kann Intel den Fix nicht selbst an alle Kunden verteilen.

Fraglich ist, ob ältere Systeme die Updates bekommen werden, insbesondere wenn diese nicht von Markenherstellern stammen. Wessen Geräte sicher nicht mehr mit Updates versorgt werden, kann sich bei Intel über Schritte zur Mitigation der Sicherheitslücke informieren.

Unklar ist, wie viele Rechner derzeit von der Sicherheitslücke betroffen sind. Nach Angaben von HD Moore bei Ars Technica zeigt ein Shodan-Scan auf die Ports 16992 oder 16993 rund 7.000 verwundbare Systeme weltweit. Tatsächlich könnten viele dieser Rechner aber nur Frontends größerer Netzwerke sein und die Anzahl angreifbarer Systeme damit erhöhen. Die Ergebnisse solcher Scans sind nicht unbedingt repräsentativ, können aber eine Einordnung ermöglichen.


eye home zur Startseite
deadeye 02. Mai 2017

Ich wünschte mir, dass die Entdecker mehr Eier zeigen. Das muss so laufen: "Unternehmen...

Themenstart

DooMMasteR 02. Mai 2017

das Problem ist eher, dass auch eine unprovisionierte ME angreifbar ist und aus Linux...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. IHK für München und Oberbayern, München
  2. ROMACO Pharmatechnik GmbH, Karlsruhe
  3. Ratbacher GmbH, Hamburg
  4. operational services GmbH & Co. KG, Berlin, Dresden, Frankfurt, München


Anzeige
Spiele-Angebote
  1. ab 59,98€ (Vorbesteller-Preisgarantie)
  2. (-10%) 53,99€
  3. 20,39€ (Bestpreis!)

Folgen Sie uns
       


  1. Lucidcam

    3D-Kamera mit 180-Grad-Sicht kommt in den Handel

  2. Zero-Rating

    StreamOn der Telekom bei 200.000 Kunden

  3. Beta Archive

    Microsoft bestätigt Leck des Windows-10-Quellcodes

  4. Deutschland-Chef der Telekom

    Bis 2018 flächendeckend Vectoring in Nordrhein-Westfalen

  5. Sipgate Satellite

    Deutsche Telekom blockiert mobile Nummer mit beliebiger SIM

  6. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  7. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  8. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  9. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  10. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Risk: Kein normaler Mensch
Risk
Kein normaler Mensch

WD Black SSD im Test: Mehr Blau als Schwarz
WD Black SSD im Test
Mehr Blau als Schwarz
  1. NAND-Flash Toshiba legt sich beim Verkauf des Flashspeicher-Fab fest
  2. SSD WD Blue 3D ist sparsamer und kommt mit 2 TByte
  3. Western Digital Mini-SSD in externem Gehäuse schafft 512 MByte pro Sekunde

Oneplus Five im Test: Der Oneplus-Nimbus verblasst - ein bisschen
Oneplus Five im Test
Der Oneplus-Nimbus verblasst - ein bisschen

  1. Re: Jeder Anbeiter MUSS klagen..

    chefin | 07:13

  2. Re: Schlechter Artikel

    Vielfalt | 07:07

  3. Re: Was genau ist hier das Besondere?

    NaruHina | 07:06

  4. Re: Industrie dort ansiedeln, wo die Ressourcen sind

    der_Volker | 07:03

  5. Re: Will ich als Telekom Kunde nicht

    Solear | 06:49


  1. 07:16

  2. 14:37

  3. 14:28

  4. 12:01

  5. 10:37

  6. 13:30

  7. 12:14

  8. 11:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel