News Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-Ausführung

[Draco Nobilis]

siehe screen anbei, eines E7470 mit Intel Chipsatz.
Letztes Bios Update (welches keinerlei IME Updates beinhaltet)
Anhang anzeigen 643292
genug beleg?
Du kannst gern beim Support noch mal anrufen kann dir gern den STag geben, die wissen von gar nichts

edit:
@onetwoxx
den Satz hab ich tatsächlich überlesen... Bios Update ist damit raus

Ah du dachtest wegen dem neuen Fehler. Nein da ist noch nichts.
Abwarten auf Stellungnahme. Das alte wurde ja recht gut gefixt.
Workarounds gibt es ja auch immer.
Aber so langsam fängt Intel an mich da zu nerven, das kann ich dir sagen.
Übrigens nutzen echte Männer https://downloads.dell.com/published/Pages/index.html.
Ist wesentlich entspannter, jedenfalls für mich. Aber das hat seine Gründe.

 

[chithanh]

Oder eben Wechsel auf AMD

Das AMD-Äquivalent zu Intel ME heißt PSP und genau die selben Einwände greifen auch hier.

AMD hat vor Monaten mal versprochen, Möglichkeiten zu prüfen, PSP-code zu open sourcen oder wenigstens, wie Benutzer den PSP deaktivieren können, aber seitdem nichts neues vermeldet.

 

[Gelbsucht]

Wie groß das Problem auch sein mag, man sollte schon im BIOS / EFI alles deaktivieren, was man nicht braucht. Dazu gehören bei Privatnutzern ansich auch alle Sachen, die was mit Fernzugriff zu tun haben (in den meisten Fällen also auch WoL).

Ich hab anfangs auch brav dieses ganze Intel MEI Software-Gedöns aufs System geklatscht, nur braucht meins das nicht. Gibt aber Systeme, die das evtl brauchen (so wie manches Zeug auf .NET aufsetzt). In dem Fall kann man immerhin gefahrlos den lms.exe Prozess killen, denn der wird nur für AMT-Funktionen gebraucht.

The Local Manageability Service provides local access to some Active Management Technology features. If this is your personal system then you can safely disable LMS

Quelle: Vorletzter Beitrag auf der Seite KLICK

Mehr als das eigene System härten kann man ja nicht und wenn dann noch was kritisches übrig bleibt, muß der jeweilige Hersteller ran und nachbessern.

Das Internet ist böse

 

[LeX23]

Mit Linux wäre das nicht passiert...

 

[yummycandy]

dürfte ggf auch eine der geforderten Hintertüren des amerikanischen Geheimdienstes sein.

Kurioserweise ermöglicht eine Funktion, die Intel eigens für den US-Geheimdienst NSA in die ME-Firmware eingebaut hat, nun die Abschaltung dieser viel kritisierten Management Engine (ME). Denn die NSA selbst wünschte sich Intel-Computer ohne riskante Firmware, die Hintertüren aufreißen könnte – etwa durch Sicherheitslücken.

und weiter:

Das wesentliche Problem bei der Abschaltung der Management Engine ist, dass sie zum Booten des Systems notwendig ist: Wenn man zu viele Funktionsblöcke der ME-Firmware entfernt, etwa mit dem me_cleaner, dann startet das jeweilige System nicht mehr oder läuft nur rund eine halbe Stunde lang.

Soweit ich gesehen hab, ist die IME in einem kleinen ARM-Chip vorhanden, was die ganze Sache schwieriger macht. (Das aber ohen Garantie)

https://www.heise.de/security/meldung/Intel-Management-Engine-ME-weitgehend-abschaltbar-3814631.html

Ergänzung (22. September 2017)

@Gelbsucht, nein, die IME kannst du nicht so abschalten. Der Service greift eben nur auf diese zu. Die IME läuft parallel zu deinem System und ist von diesem nicht zu sehen.

Mea culpa, hab gerade gesehen, daß man bei einigen Systemen die AMT abschalten kann.

 

[THED0M]

Mit Linux wäre das nicht passiert...

Was hat das mit Linux zu tun?

 

[Termy]

Und ein weiterer Beweis, dass dieser IME/PSP-Dreck entfernt gehört oder zumindest komplett abschaltbar sein müsste

Das traurige ist ja, dass die allerwenigsten überhaupt wissen, dass jeder moderne Rechner mit Spyware, vor der es keinen (von einem Laien ohne spezial-Hardware anwendbaren) Schutz gibt.

Da die Hoffnung ja zuletzt stirbt kann man noch hoffen, dass diese Lücke mehr Bewusstsein schafft, aber irgendwie bezweifel ich das

 

[NutzenderNutzer]

kann da jedem nur empfehlen die Panda News zu abonnieren, von dem AV Programm, in deren Newsletter stand das schon vor 10 Tagen

 

[druckluft]

Welche Möglichkeit gibts denn das ganze IME-Geschmeiß vollständig zu umgehen? Was ist wenn ich das LAN beispielsweise über eine gesonderte (spezielle?) Netzwerkkarte anschließe? Das ganze ist mir schon seit Jahren ein Dorn im Auge...

 

[Syrell]

der CCC hat schon öfter über diese Hardware Hacks, berichtet mit dem man alles umgehen kann. Für einige Lenovo Laptops gibt es opensource code um ihn auf den ME chip zu spielen. Hardware Lücken sind die Zukunft, closedcode den niemals jemand kontrollieren kann. Jede Verschlüsselung wird reversibel. Auf Schadsoftware ist die NSA nicht angewiesen.

https://media.ccc.de/v/32c3-7352-towards_reasonably_trustworthy_x86_laptops

 

[MegaManPlay]

Hier ein Post dazu wie man das ganze weitreichend deaktiveren kann.
Etwas Tricky das ganze.

wofür ist das ME zeug / Treiber muss man ja sep. installieren... so wichtig kann es ja kaum sein.
und gibt es ne Anleitung auf DE?

 

[yummycandy]

Welche Möglichkeit gibts denn das ganze IME-Geschmeiß vollständig zu umgehen? Was ist wenn ich das LAN beispielsweise über eine gesonderte (spezielle?) Netzwerkkarte anschließe? Das ganze ist mir schon seit Jahren ein Dorn im Auge...

Eine andere Netzwerkkarte eleminiert das Problem wohl. Fernverwaltung scheint nur über die Intel onboard Karten zu funktionieren.

 

[TheLastHotfix]

Welche Möglichkeit gibts denn das ganze IME-Geschmeiß vollständig zu umgehen?

me_cleaner > https://github.com/corna/me_cleaner/wiki/me_cleaner-status
aber dazu braucht man fast immer auch einen BIOS-Flasher á la CH341A oder Ähnliches wegen BIOS-Lock, für Laptops einen SOIC8 Clip.

Ich habs getestet, funktioniert einwandfrei.

D:\BIOS>me_cleaner dump17-mefree.rom
Full image detected
The ME/TXE region goes from 0x3000 to 0x180000
Found FPT header at 0x3010
Found 20 partition(s)
Found FTPR header: FTPR partition spans from 0x4a000 to 0xd2000
ME/TXE firmware version 9.1.37.1002
Removing extra partitions...
Removing extra partition entries in FPT...
Removing EFFS presence flag...
Correcting checksum (0xea)...
Reading FTPR modules list...
UPDATE (LZMA , 0x0afbb4 - 0x0afdde): removed
ROMP (Huffman, fragmented data ): NOT removed, essential
BUP (Huffman, fragmented data ): NOT removed, essential
KERNEL (Huffman, fragmented data ): removed
POLICY (Huffman, fragmented data ): removed
ClsPriv (LZMA , 0x0afdde - 0x0b01b7): removed
SESSMGR (LZMA , 0x0b01b7 - 0x0bbb51): removed
SESSMGR_PRIV (LZMA , 0x0bbb51 - 0x0c1430): removed
HOSTCOMM (LZMA , 0x0c1430 - 0x0c973a): removed
TDT (LZMA , 0x0c973a - 0x0ceaef): removed
FPF (LZMA , 0x0ceaef - 0x0d05f2): removed
The ME minimum size should be 405504 bytes (0x63000 bytes)
The ME region can be reduced up to:
00003000:00065fff me
Setting the AltMeDisable bit in PCHSTRP10 to disable Intel ME...
Checking the FTPR RSA signature... VALID
Done! Good luck!

schaut dann so aus:

Selbstverständlich auf eigene Gefahr, lieber vom Fachmann machen lassen.
Ich hätte übrigens noch keinen Nachteil bemerkt. Im Gegenteil, mein Eindruck ist das System läuft etwas schneller.

 

[druckluft]

Ok danke, werde mich mal bischen ins Thema einlesen. Mein letzter Stand war, dass der PC nach 30min runter fährt, wenn man versucht hat da was zu deaktivieren. Scheint langsam voran zu gehen...

 

[TheLastHotfix]

Ok danke, werde mich mal bischen ins Thema einlesen. Mein letzter Stand war, dass der PC nach 30min runter fährt, wenn man versucht hat da was zu deaktivieren. Scheint langsam voran zu gehen...

Nach me_cleaner nicht, das liegt vorallem daran, dass die Entwickler vor kurzem einen proprietären Switch entdeckt haben, siehe
"Setting the AltMeDisable bit in PCHSTRP10 to disable Intel ME..."
hier: https://twitter.com/_markel___/status/902179584325640194
Manche Apps kommunizieren schon über das Management Interface, z.B. die ASUS AI Suite nörgelt dann, dass der ME-Treiber nicht geladen ist, startet aber trotzdem : ) außerdem muß das nicht laufen, ist alles auch im BIOS einstellbar. Eine weitere Downside tut sich eventuell bei DRM geschützen Inhalten auf. Mit Amazon Prime Music hab ich allerdings keine Problem festgestellt.

 

[Ctrl]

Bla bla bei CB wie immer betroffen sind IMMO nur vPro Systeme
also AMT-Typen ab Version 6. Q57, Q67, Q77, Q87, Q170 und Q270. Einfachere ME-Versionen mit Funktionen von Intel Small Business Advantage (SBA) laufen in Q65, B65, Q75, B75, Q85, B85, Q150, B150, Q250 und B250. C236

nichts als Panikmache und Intel bashing,

CB = Bildzeitung

 

[HaZweiOh]

Damit sind Intel-PCs mit dieser Engine nicht nur offen wie ein Scheunentor, viel besser:

Man kriegt die Schadsoftware auch mit einer Neuinstallation nicht mehr weg! Prost Mahlzeit!

 

[TheLastHotfix]

... nur vPro Systeme ...

Wieso "nur"? Diese Chipsets werden wenn dann vorwiegend bei Banken, Konzernen, also im Industrieumfeld eingesetzt. Außerdem: https://twitter.com/_markel___/status/911356894270431238

 

[Freaker1]

Die NSA und ihresgleichen lieben ihre hardware level backdoors.

Vielen Dank nochmal an Intel, AMD und...

 

[Anon-525334]

Holt, wo bleibst du? Erkläre uns bitte dieses Intel Feature?