Intel-Firmware: Schwachstelle gefährdet Business-PCs bereits seit 2008

Vor kritischen Sicherheitslecks in der Firmware von Active Management Technology (AMT), Standard Manageability (ISM) und Small Business Technology (SBT) warnt Intel in einem entsprechenden Advisory (Intel ID: INTEL-SA-00075). Ein Angreifer kann über mehrere Schwachstellen die eigenen Privilegien ausweiten und letztlich die Kontrolle über das angegriffene System erlangen. Davon sind zahlreiche Business-Plattformen seit 2008 bis heute betroffen.

Die Schwachstellen lassen sich dem Advisory zufolge auf zwei Arten ausnutzen. Ein Remote-Angreifer kann einerseits Kontrolle über die Management-Produkte Active Management Technology und Standard Manageability erlangen. Intel bewertet diesen Fehler mit 9,8 auf einer Skala bis 10 (CVSSv3). Von der zweiten Schwachstelle sind neben beiden genannten Technologien auch die Small Business Technology betroffen. Diesen Fehler bewertet das Unternehmen mit 8,4. Hier warnt Intel, dass ein unprivilegierter Angreifer auf die Management-Features zugreifen und so die eigenen Rechte auf dem lokalen Netzwerk oder einem lokalen System ausweiten kann.

In den drei genannten Produkten sind die Firmware-Versionen 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 und 11.6 betroffen. Versionen vor 6 und nach 11.6 sind laut Intel nicht betroffen. Damit steckt die Lücke in sämtlichen Modellen von Nehalem aus dem Jahr 2008 bis Kaby Lake aus dem Jahr 2017 von dem Leck in der Intel Management Engine betroffen.

Die Intel Active Management Technology, die sich aus Hardware und Firmware zusammensetzt, erlaubt ein Remote-Out-of-Band-Management von PCs. Die Systeme lassen sich über das Hardware-basierte AMT überwachen, pflegen, reparieren und aktualisieren.

„Intel rät daher dringend, dass zunächst als allererster Schritt die genannten Management-Werkzeuge deaktiviert werden sollen“, wie das Unternehmen in einem PDF erklärt. Als zweiten Schritt empfiehlt Intel, den Local Management Service zu deaktivieren oder zu entfernen. LMS lauscht der Manageability Engine (ME) auf den Ports 16992, 16993, 16994, 16995, 623 und 664 und leitet den Traffic über die Firmware auf den MEI-Treiber.

Google-Sicherheitsexperte Matthew Garrett erklärt gegenüber ZDNet.com, dass Nutzer sicherstellen sollten, dass AMT deaktiviert ist: „Um dieses Leck zu beheben, ist ein Firmware-Update nötig, um eine neue Management Engine Firmware mit samt einer aktualisierten Version des AMT-Codes bekommen zu können. Viele der betroffenen Systeme aber werden nicht mehr von den Herstellern mit Firmware-Updates versorgt und werden daher voraussichtlich nie einen Fix bekommen.“ Daher sei jeder, der AMT auf einem seiner Rechner aktiviert habe, über dieses Leck angreifbar.

Firmware-Updates seien zudem häufig nicht als sicherheitsrelevant gekennzeichnet und würden auch nicht über Windows Update verteilt. Daher werden Nutzer, selbst wenn ein Hersteller ein Update zur Verfügung stellt, nicht informiert und installieren folglich die Aktualisierung meist auch nicht.

Allerdings sind nur Systeme betroffen, die mit Intels vPro-Technologie ausgerüstet sind. Das ist in aller Regel nur bei gewerblich genutzten Rechnern der Fall. Entdeckt hat laut Intel das Leck Maksim Malyutin von Embedi, wohingegen ein Team von SemiAccurate erklärt, das Leck bereits vor fünf Jahren entdeckt zu haben.

[mit Material von Martin Schindler, silicon.de]