• IT-Karriere:
  • Services:

Security: Das Intel-ME-Chaos kommt

Bis zum Chaos sei es nur eine Frage der Zeit, schreiben die ME-Hacker. Intel versucht, das zu verschweigen, und kann das Security-Theater eigentlich auch gleich sein lassen.

Ein IMHO von veröffentlicht am
Bei Intels ME ist das Chaos ist vorprogrammiert.
Bei Intels ME ist das Chaos ist vorprogrammiert. (Bild: Intel)

Für Intel ist eine Sicherheitslücke in seiner Management Engine (ME) kaum der Rede wert, dann kommen die bekannten Hacker von Positive Technologies (PT), finden die gleiche Lücke und schreiben in ihrem Blog, dass es damit bis zur Herrschaft des Chaos nur noch eine Frage der Zeit sei. Eine größere Blamage für Intel ist nicht mehr vorstellbar. Na ja, bis auf das komplette Ende der ME, aber auch das bereitet PT schon vor.

Stellenmarkt
  1. Haufe Group, Hannover, Freiburg
  2. Allianz Deutschland AG, München, Unterföhring

Seit einigen Jahren zerlegen die Hacker immer größere Bestandteile von Intels proprietärer Firmware und stoßen dabei auf immer tiefer liegende Probleme. Zuerst gelang dem Team der Vollzugriff auf die ME. Schon damals hieß es "Game Over!" und diesem Motto ist das Team treu geblieben.

Es folgten die Code-Ausführung in der eigentlich deaktivierten Komponente und verschiedene Lücken zur Ausführung von Code auch über das Netz. Dank der Hacker wissen wir, dass die ME auf Minix basiert und auch einen Logikanalysator enthält.

Fehler im Boot-ROM

Und jetzt also ein Fehler im Boot-ROM der ME, den Intel laut den Hackern nicht beheben kann. Der konkrete Angriff kommt ihnen zufolge dem Offenlegen des privaten Signaturschlüssels der ME gleich. Damit ließe sich die Enhanced Privacy ID (EPID) übernehmen, die als Root of Trust für so ziemlich alles genutzt wird: TPM, Verschlüsselung, Remote Attestation, DRM und Weiteres. Noch liegt dieser letzte notwendige Schlüssel verschlüsselt in einem speziellen Speicherbereich - noch.

Golem Akademie
  1. PostgreSQL Fundamentals
    15.-18. Juni 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    3.-7. Mai 2021, online
Weitere IT-Trainings

Denn laut dem Blogeintrag ist es nur noch eine Frage der Zeit, bis auch dieser Schlüssel mithilfe des Fehlers geknackt ist. Angesichts der bisherigen Erfolge von PT ist das sicher nicht zu hoch gegriffen. Und wenn das passiert, ist das Vertrauen für die genannten Bereiche einfach nicht mehr gegeben. Auch das versprochene Chaos ist hier sicher keine Übertreibung.

Intel hatte die Lücke (CVE-2019-0090) bereits im vergangenen Jahr selbst gefunden, nur als Rechteausweitung beschrieben und versucht, einen möglichen Angriffsvektor zu beheben. Laut PT gibt es aber vermutlich noch weitere Angriffsvektoren und das eigentliche Problem im ROM bleibt ja immer noch bestehen, da dieser Teil nicht aktualisiert werden kann.

Das ist der vorläufige Höhepunkt einer Blamage seitens Intel, die der Hersteller versucht, als Sicherheit zu verkaufen. Spätestens jetzt sollte Intel das Konzept einer proprietären ME einmotten und an dem offenen Hardware-Security-Chip mitarbeiten, den Google mit einer Open-Source-Community erstellen will. Kunden, Nutzer und auch Intel wären dabei die Gewinner.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 19,49€
  2. 21€
  3. 6,50€
  4. 4,99€

plutoniumsulfat 09. Mär 2020

Dann stell doch mal kurz deine Bankdaten, Urlaubsbilder, Gehaltsabrechnungen und...

FreiGeistler 09. Mär 2020

Siehe ME-Cleaner. Leere Behauptungen oder hast du Beweise? Oder ganze CPU-Familien, die...

wurstdings 09. Mär 2020

Also wer es schafft die Intel ME abzuschalten bekommt auch prommt den Beweis, dass er das...

Aki-San 09. Mär 2020

Ich fand den "Artikel" gut. Wesentlich besser als so manch anderer Schund den man hier...

senf.dazu 07. Mär 2020

Gilt da nicht - nächste CPU bzw. Chipsatzgeneration - nächstes Spiel ? Aber wenn dem so...


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /