Unbedingt patchen: Nahezu alle aktuellen Intel-Prozessoren angreifbar
von Andy Voß 24.11.2017, 15:35 Uhr
Haben Sie in den letzten Jahren einen PC oder ein Notebook gekauft? Dann ist der entsprechende Rechner wahrscheinlich unsicher! COMPUTER BILD verrät, wie Sie sich schützen.
Verschiedene Sicherheitsforscher haben kritische Schwachstellen in allen Intel-Prozessoren ab Skylake entdeckt. Angreifer können diese Sicherheitslücken ausnutzen, um die Kontrolle über das System zu übernehmen. Betroffen sind ebenfalls Prozessoren der Kaby-Lake- und Coffee-Lake- sowie verschiedene Prozessoren der Xeon-, Atom-, Celeron- und Apollo-Lake-Reihen. Schutz bietet nur ein Firmware-Update, das sie schnellstens installieren sollten.
Intel-CPUs: Aus der Ferne angreifbar
Die Fehler stecken in der Intel Managment Engine, der Trusted Execution Engine und den Server Platform Services und ermöglichen eine Reihe von lokalen Angriffen auf das System. Eine Sicherheitslücke lässt sich zudem aus der Ferne ausnutzen. Folgende Prozessoren sind betroffen:
- Die 6., 7. und 8. Generation der Intel-Core-Prozessoren
- Intel Xeon Processor E3-1200 v5- sowie die v6-Produkte
- Intel Xeon Processor Scalable
- Intel Xeon Processor W
- Intel Atom C3000 Processor
- Apollo Lake Intel Atom Processor E3900
- Apollo Lake Intel Pentium Prozessoren
- Intel Celeron N und J Prozessoren
» Download: Intel-SA-00086 Detection Tool kostenlos herunterladen
So schützen Sie sich
Um die Sicherheitslücken zu schließen, sollten Sie ein Firmware- oder ein BIOS-Update einspielen. Die müssen allerdings die PC- und Notebook-Hersteller bereitstellen. Auf der Intel-Webseite gibt es dazu eine Übersicht, die ständig aktualisiert wird. Falls Ihr Hersteller nicht aufgelistet ist oder Sie Probleme bei der Installation haben, wenden Sie sich direkt an den Hersteller.
Quelle: Aktuelle Intel-Prozessoren: Sicherheitslücke - COMPUTER BILD
Intel-Computer: BSI warnt vor Sicherheitslücke, Updates teils spät
23.11.2017 17:05 Uhr Christof Windeck
Auch das Bundesamt für Sicherheit in der Informationstechnik warnt vor dem Firmware-Risiko in vielen Desktop-PCs, Notebooks und Servern, aber manche Hersteller reagieren langsam.
"Mehrere Schwachstellen ermöglichen die komplette Systemübernahme": Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun die Warnmeldung CB-K17/2012 zu Intels Security Advisory Intel SA-00086 herausgegeben. Das BSI stuft die Sicherheitslücke in vielen seit 2015 ausgelieferten Desktop-PCs, Notebooks, Tablets, Embedded Systems und Servern mit Intel-Prozessoren als "Risikostufe 4: Hoch" ein. Einige der Lücken lassen sich wohl auch aus der Ferne für Angriffe nutzen (Remoteangriff).
Es ist also ratsam, betroffene Systeme zu identifizieren (Tipps dazu in unserer Meldung vom 22.11.2017) und dann ein Update einzuspielen. Je nach System betrifft das die Firmware der Management Engine (Intel ME), der Server Platform Services (SPS) oder der Trusted Execution Engine (TXE, nicht Trusted Execution Technology TXT).
Update-Methoden
Bei einigen Rechnern ist für das Firmware-Update ein BIOS-Update nötig, bei anderen lässt sich der jeweils betroffene Firmware-Teil separat patchen. Das Update muss vom jeweiligen Hersteller des PCs, Notebooks, Servers, Mainboards bereitgestellt werden; Updates aus anderen Quellen sind nicht ratsam, schon gar nicht bei sicherheitskritischen Komponenten.
Die Update-Prozedur fällt bei manchen Servern etwas kompliziert aus. HPE erklärt beispielsweise für ProLiant DL20 Gen9, ProLiant ML30 Gen9 und ProLiant Gen10 mit Xeon-SP, dass man zuerst das System ROM auf Version 1.26 (oder höher) updaten muss, dann die Innovation Engine auf mindestens 0.1.4.4. und erst dann die SPS-Firmware auf 04.00.04.288.
Manche früher, andere später
Lücke jetzt, Bugfix später: Intel will BIOS-Updates gegen SA-00086 im Dezember liefern. Offenbar hat Intel die Hersteller schon vor der Veröffentlichung des SA-00086 informiert. Firmen wie Fujitsu und Shuttle stellen bereits BIOS-Updates für viele betroffene Rechner bereit. Andere Firmen haben immerhin bereits Info-Webseiten freigeschaltet. Intel selbst will erst im Dezember Updates für betroffene Mini-PCs der Serie NUC liefern. Andere wie Acer nennen noch keine Termine. Und manche Firmen haben noch gar nicht reagiert – ähnlich wie bei der AMT-Lücke SA-00075 im Mai.
Das zeigt, dass mehrere Hardware-Hersteller unzureichend auf die Behebung kritischer Firmware-Probleme vorbereitet sind. Manchen fällt auch die unzureichende Dokumentation ihrer (UEFI-)BIOS- und Firmware-Updates auf die Füße: Dann ist nicht zu erkennen, welche Patches ein Update enthält.
Black-Hat-Vorbereitung
Intel bedankt sich im SA-00086 ausdrücklich bei Mark Ermolov und Maxim Goryachy von Positive Technologies Research. Die beiden Experten hatten im September gemeldet, die ME ausgehebelt zu haben und im November einen JTAG-Zugang zur ME-Firmware per USB 3.0 gefunden.
Details folgen im Vortrag "How to hack a turned-off Computer, or running sunsigned Code in Intel Management Engine" am 6. Dezember auf der Black Hat Europe 2017. Vermutlich hat Intel das SA-00086 deshalb jetzt veröffentlicht.
ME_cleaner betroffen?
Wer die Funktion der Managament Engine mit Firmware-Hacks wie dem ME_cleaner weitgehend stilllegen will, sollte die jetzt veröffentlichten BIOS-Updates zunächst meiden: Es ist denkbar, dass Intel im Zuge der Beseitigung der aktuellen Sicherheitslücken auch Code anpasst, der die Funktion des ME_cleaners und anderer ME-Hacks wie dem Setzen des HAP-Bit blockiert.
Allerdings dürften Systeme, bei denen die ME gar nicht erst funktioniert, kaum von den aktuellen Sicherheitslücken betroffen sein. (ciw)
Quelle: Intel-Computer: BSI warnt vor Sicherheitslücke, Updates teils spät |
heise Security
Weitere Infos z.B.: BSI warnt vor ernsten Sicherheitslücken in Intel-Prozessoren - PC-WELT