Intel ME stilllegen

jacktheexecuter

Lt. Junior Grade
Registriert
Juli 2012
Beiträge
344
Hallo zusammen,

wie es der Titel schon sagt, habe ich vor mich mit der ME Thematik zu befassen, bzw. habe es schon und suche jemanden der sich ernsthaft damit schon beschäftigt hat.

Hat jemand von euch die ME schon aus seinem System Bios/UEFI gepatcht?

Wenn ja, auf welchem Weg?

Gruß,
Jack
 
Sers.

Was versprichst du dir davon? Einfach mal, weil so es sooooo unsicher ist? Einfach weil es Spaß machen könnte? Machst du Dinge im Internet oder bekommst du auf anderem Weg Programme, die die Schwachstellen ausnutzen könnten?

cheers, alexx
 
Ja es ist soo unsicher....
Das Argument, dass man es seien lassen kann, weil es noch andere Lücken gibt ist Blödsinn und außerdem sowieso von seinen Anforderungen abhängig.
 
Meine Ironie war wohl nicht deutlich genug...

"Difficile est saturam non scribere."
 
  • Gefällt mir
Reaktionen: jacktheexecuter und Ctrl
Helios_ocaholic schrieb:
Du kannst aber die entsprechenden Intel ME-Service-Ports an deinem Router schliessen: Intel ME - Service Ports
Bevor nun dutzende Leser anfangen, panisch an ihrer Firewall rumzupfriemeln:
Das mit den Ports ist nicht die ME, sondern das separate AMT.
AMT ist „nur“ ein Managementservice mt Weblistener, der im BIOS von intel Q Chipsätzen dabei ist (und oft kann man AMT in dem BIOS dann auch deaktivieren).
In den consumerüblichen intel Z, H und B Chipsätzen gibt es AMT nicht.
Am ehesten triffst du als Verbraucher auf AMT, wenn du abgelegte Businessnotebooks gebraucht kaufst (Lenovo Business Notebooks z.B)
 
  • Gefällt mir
Reaktionen: jacktheexecuter und DiedMatrix
Vom Internet aus ist doch der Zugriff auf die Intel ME Ports des jeweiligen PCs durch den Router sowieso nicht möglich. Dieser blockt eingehende Verbindungen.

Ein Angreifer muss sich im eigenen Netz befinden. Ist dies der Fall, hat man ganz andere Probleme als Intel ME.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Lawnmower
Leider hilft die Option "mit dem Schraubenzieher die Chips abhebbeln" nicht weiter. Entweder alles ist unsicher oder nichts geht mehr.

Eine AMD-CPU einsetzen ist auch keine Lösung.

Intel Me muss einfach weg!
 
  • Gefällt mir
Reaktionen: jacktheexecuter, DiedMatrix und konkretor
konkretor schrieb:

"On some boards the OEM firmware fails to boot without a valid Intel ME firmware; in the other cases the system should work with minor inconveniences (like longer boot times or warning messages) or without issues at all."

Höhö... na dann macht mal. Alles ab Sandybridge scheint ja ein BPOS (big piece of s....) zu sein, was die Entfernung angeht.

CPU-Bastler schrieb:
Eine AMD-CPU einsetzen ist auch keine Lösung.

Naja auch da gibts ja (andere) vulnerabilities.


@jacktheexecuter , ich hab das schon zigmal hier gepostet: Hatte ne Sandybridge, da hat ne Radeon R580 nicht drauf funktioniert (kein Bild, kein BIOS-Post, nix) Es ging dann nach nem Intel ME Update von 7 auf 8.
Entweder, der ME-Code ist so stupide, dass Hardwarefunktionalität komplett blockiert wird, oder aber er verhindert es tatsächlich.
Ich würde mich eher mal damit beschäftigen, wie der Zugang zu Intel ME auf deinem Rechner lokal bleibt, also nichts mit ins Netzwerk und so...
 
Man kann Intel ME grundsätzlich nicht per Software stilllegen. Das ist ein Hardwarefeature, und es wird benötigt, damit das System überhaupt bootet.

Was man machen kann, ist einen Zustand reduzierter Funktionalität zu erreichen, mittels me_cleaner oder Setzen des HAP-bits. Aber was genau dann noch funktioniert weiß nur Intel. Und man bleibt prinzipiell angreifbar für nicht abgeschaltete Funktionalität.

https://twitter.com/rootkovska/status/939064351008395264
 
  • Gefällt mir
Reaktionen: jacktheexecuter
alexx79 schrieb:
Sers.

Was versprichst du dir davon? Einfach mal, weil so es sooooo unsicher ist? Einfach weil es Spaß machen könnte? Machst du Dinge im Internet oder bekommst du auf anderem Weg Programme, die die Schwachstellen ausnutzen könnten?

cheers, alexx

Ich verspreche mir davon etwas Beschäftigung die zur Absicherung meines Systemes beiträgt.
Es ist einfach ein schlechtes Gefühl zu wissen, das da auf low level ein System läuft, welches einfach mal so an allen Sicherungsmaßnahmen vorbeimarschiert wenn das System gebootet ist.
Ergänzung ()

Helios_ocaholic schrieb:
Hi Jack


Generell gibt es keinen Patch, welcher für jedes BIOS gilt.

Du kannst aber die entsprechenden Intel ME-Service-Ports an deinem Router schliessen: Intel ME - Service Ports


LG Uwe

Ähm, ich meine damit, dass man das Bios dumpt, patcht und wieder flasht.
Damit meine ich nicht, dass man irgendein Setup ausführt.
Ergänzung ()

Helge01 schrieb:
Vom Internet aus ist doch der Zugriff auf die Intel ME Ports des jeweiligen PCs durch den Router sowieso nicht möglich. Dieser blockt eingehende Verbindungen.

Ein Angreifer muss sich im eigenen Netz befinden. Ist dies der Fall, hat man ganz andere Probleme als Intel ME.

Es handelt sich um ein Notebook, damit ist man unterwegs in unterschiedlichen Netzen.
Also will ich das Ding möglichst platt machen.
Ergänzung ()

konkretor schrieb:

thx, die beiden hatte ich auch gefunden.
Hast du Erfahrung damit?
Ergänzung ()

chithanh schrieb:
Man kann Intel ME grundsätzlich nicht per Software stilllegen. Das ist ein Hardwarefeature, und es wird benötigt, damit das System überhaupt bootet.

Was man machen kann, ist einen Zustand reduzierter Funktionalität zu erreichen, mittels me_cleaner oder Setzen des HAP-bits. Aber was genau dann noch funktioniert weiß nur Intel. Und man bleibt prinzipiell angreifbar für nicht abgeschaltete Funktionalität.

https://twitter.com/rootkovska/status/939064351008395264

na klasse.
Ergänzung ()

Dann können wir das Thema hier abschließen.
Das Risiko ein System bei der Aktion zu bricken, ist einfach zu hoch.

Shit.
 
Zuletzt bearbeitet:
Nope noch nie gemacht. Risiko ist mir zu hoch das ein Gerät kaputt ist. Dafür ist das probieren einfach zu teuer
 
Zurück
Oben