Management Engine: Intel integriert Hardware-Fix in Chipsätze

Intel hat in einem Whitepaper (PDF) aufgeschlüsselt, welche Chipsätze eine aktualisierte Management Engine erhalten. Hintergrund ist ein Fehler im Boot-ROM (CVE-2019-0090) von vergangenem Jahr, der per Hardware-Fix zumindest in einigen aktuellen und kommenden Chips beseitigt sein soll.

Ein Angriff auf den Lesespeicher kommt Forschern zufolge dem Offenlegen des privaten Signaturschlüssels der ME gleich. Damit ließe sich die Enhanced Privacy ID (EPID) übernehmen, die als Root of Trust für so ziemlich alles genutzt wird: DRM, Remote Attestation, TPM, Verschlüsselung und Weiteres.

Bei den überarbeiteten Platform Controller Hubs (PCHs) aktiviert Intel die integrierte IOMMU von Haus aus, so dass diese RS1-DMA-Transaktionen blockiert, bis die ME-Firmware auf einen speziellen SRAM-Bereich zugreift. Bei älteren Modellen ist die IOMMU zwar deaktiviert, eine gepatchte Firmware aber soll verhindern, dass das Boot-ROM attackiert wird.

Die Liste der PCHs mit dem Hardware-Fix umfasst diverse Plattformen: Ice Lake (ICP-LP/N), Comet Lake (CMP-LP/P/V), Tiger Lake (TGP-LP/H), Lakefield, Whitley (LBG-R), Idaville (CDF), Jacobsville (CDF), Eagle Stream (EBG) und Tatlow (TGP-H). Hinter diesen Codenamen verbergen sich teils identische Chips oder Plattformen für Desktop, Notebooks sowie Server.

Ice Lake U und Comet Lake U sind Intels aktuelle Ultrabooks-Chips, daher auch LP (Low Power). Auf sie folgen Ende 2020 die Tiger Lake U und für besonders sparsame Geräte will Intel in diesem Jahr noch Lakefield veröffentlichen.

Tatlow heißen kommende CPUs für kleine Server mit dem Sockel LGA 1200, sie entsprechen den zehnkernigen Comet Lake S für Desktop-Systeme, allerdings mit anderen Chipsätzen. Idaville und Jacobsville sind Atom-basierte Serverprozessoren mit Tremont-Technik, bei Whitley und Eagle Stream handelt es sich um 2-Sockel-Server für Ice Lake SP (2020) und Sapphire Rapids SP (2021).