Reverse Engineering: Hackern gelingt Vollzugriff auf Intel ME per USB

Sicherheitsforscher, die Intels Management Engine (ME) seit mehr als einem Jahr analysieren, melden nun: "Game over!" für Intel. Die Forscher haben vollen Debug-Zugriff auf die ME über eine spezielle USB-Schnittstelle.

Artikel veröffentlicht am ,
Für die Sicherheit von Intels ME sieht es nicht mehr gut aus.
Für die Sicherheit von Intels ME sieht es nicht mehr gut aus. (Bild: Pascal Volk, flickr.com/CC-BY-SA 2.0)

Seit rund einem Jahr sorgen die Forscher des Sicherheitsunternehmens Positive Technologies mit ihrem Reverse Engineering der Intel Management Engine (ME) für Aufsehen. Zuletzt gelang den Forschern, unsignierten Code auf der ME auszuführen. Details dazu sollen auf den Black Hat Europe Anfang Dezember vorgestellt werden. Der an diesen Arbeiten beteiligte Maxim Goryachy meldet nun auf Twitter: "Game Over!", denn dem Team ist es offenbar gelungen, Vollzugriff auf die ME zu erlangen.

Stellenmarkt
  1. IT Support (m/w/d) First Level
    GK Software SE, Schöneck/Vogtland, Hamburg
  2. Junior Consultant (m/w/d)
    TOPdesk Deutschland GmbH, Kaiserslautern, Augsburg
Detailsuche

Der noch recht kurzen Ankündigung zufolge haben die Forscher einen Zugriff auf die Funktionen der ME per JTAG. Letzteres ist eine standardisierte Methode, um Hardware und beliebige integrierte Schaltkreise im laufenden Betrieb zu debuggen und damit auch deren Funktionsweise zu verändern. Für diesen JTAG-Zugriff nutzt das Team außerdem wohl das USB Direct Connect Interface (DCI) von Intel.

Das DCI ist vor allem für die Hersteller von Embedded-Systemen mit Intel-Chips gedacht und wird für einen vergleichsweise einfachen Debug-Zugriff auf die Hardware genutzt. So kann damit das laufende UEFI sowie die Hardware wie CPU oder auch der sogenannte Platform Controller Hub (PCH) der unterstützten Geräte leicht per USB-3.0-Kabel analysiert werden. Die Überprüfung der eigentlich besonders geschützten ME und vor allem auch der vollständige Programmierzugriff per JTAG sind dabei aber wohl nicht vorgesehen.

Für Geräte, die trotz expliziter Warnung von Intel DCI aktiviert haben, lässt sich aus den Erkenntnissen ein extrem tiefgreifender Angriff konstruieren. Die Sicherheitsforscher haben bereits einige dieser Geräte ausfindig machen können. Nutzer oder das verwendete Betriebssystem haben keinerlei Möglichkeit, diesen Angriff zu erkennen oder zu vermeiden. Da die ME selbst vollen Zugriff auf RAM und CPU hat, können damit etwa Passwörter oder private Schlüssel ausgelesen und übernommen werden.

ME gefährdet eventuell Sicherheit

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Das Team von Positive Technologies hat zudem in diesem Jahr auch herausgefunden, dass das System offenbar von Minix abgeleitet ist, wofür sich Minix-Erfinder Andrew S. Tanenbaum sogar bei Intel bedankt hat. In einem Nachtrag schreibt Tanenbaum aber auch: "Viele Leute, einschließlich mir, mögen die Idee einer allmächtigen Management Engine überhaupt nicht, da es eine mögliche Sicherheitslücke und überhaupt auch eine gefährliche Idee ist."

Googles Coreboot-Entwickler arbeiten deshalb mit Kollegen von Cisco und anderen Unternehmen daran, die Intel ME sowie andere proprietäre Firmware-Bestandteile möglichst weitgehend unschädlich zu machen und falls möglich durch freie Software zu ersetzen. Der Hersteller Purism vertreibt mit seinen Librem-Laptops zudem Geräte, auf denen die ME vollständig abgeschaltet ist. Die Möglichkeit die ME abzuschalten, haben ebenfalls die Forscher von Positive Technologies in diesem Jahr entdeckt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


SumerianCry 14. Nov 2017

Wenn ich LAN, WLAN, Bluetooth und Infrarot ausgeschaltet habe, könnte die komplexe...

gadthrawn 11. Nov 2017

Aber genau für einen vollzugriff ist die debugging Schnittstelle gedacht. Du gehst über...

Kondom 10. Nov 2017

Eventuell?

nille02 09. Nov 2017

Danke dir, wäre aber nicht nötig gewesen.

nille02 09. Nov 2017

Ob das Board nun doch betroffen ist, das ist letztlich die große Frage. Ich zweifle...



Aktuell auf der Startseite von Golem.de
Klimakrise
Staatenallianz will Ende von Öl- und Gasförderung

Dänemark und Coasta Rica starten eine Initiative namens Beyond Oil and Gas Alliance (BOGA). Deutschland ist bisher nicht dabei.
Von Hanno Böck

Klimakrise: Staatenallianz will Ende von Öl- und Gasförderung
Artikel
  1. Plugin-Hybride: Autoindustrie wehrt sich gegen höhere Förderauflagen
    Plugin-Hybride
    Autoindustrie wehrt sich gegen höhere Förderauflagen

    Die Regierung will die Förderung von Plugin-Hybriden nur noch von der Reichweite abhängig machen. Zudem werden künftig Kleinstautos gefördert.
    Ein Bericht von Friedhelm Greis

  2. Gopro Hero 10 Black ausprobiert: Gopros neue Kamera ist die Schnellste
    Gopro Hero 10 Black ausprobiert
    Gopros neue Kamera ist die Schnellste

    Endlich ein neuer Chip und mehr Zeitlupe! Wo Gopros Action-Kamera das Vorgängermodell schlägt, konnten wir vor dem Produktstart ausprobieren.
    Von Martin Wolf

  3. Piranha Games: Mechwarrior 5 bekommt Kampagne und Playstation-Version
    Piranha Games
    Mechwarrior 5 bekommt Kampagne und Playstation-Version

    Große Pläne für Mechwarrior 5: Demnächst stapft neben einer Erweiterung ein großes kostenloses Update heran - erstmals auch auf Playstation.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Club-Tage: Bis zu 15% auf TVs, PCs, Monitore uvm.) • Alternate (u. a. Razer Kraken X für Konsole 34,99€) • Xiaomi 11T 5G vorbestellbar 549€ • Saturn-Deals (u. a. Samsung 55" QLED (2021) 849,15€) • Logitech-Aktion: 20%-Rabattgutschein für ASOS • XMG-Notebooks mit 250€ Rabatt [Werbung]
    •  /