Intel Management Engine - Unsichtbarer Zugriff auf CPU und RAM über USB

Ein in Intel-Prozessoren integriertes Betriebssystem, auf das Nutzer keinen Einfluss haben, sorgt für Sicherheitsbedenken.

von Georg Wieselsberger,
10.11.2017 11:35 Uhr

CPUs wie der Intel Core i7 8700K sind seit ca. 2008 mit der Intel Management Engine ausgestattet.CPUs wie der Intel Core i7 8700K sind seit ca. 2008 mit der Intel Management Engine ausgestattet.

Update: Das Problem scheint eben noch etwas größer geworden zu sein, denn wie Sicherheitsforscher melden, ist ihnen über USB der volle Debug-Zugriff auf die Intel Management Engine gelungen. Auf Twitter bezeichnet der Experte Maxim Goryachy das sogar als »Game Over!« für dieses Feature.

Über USB haben die Forscher anscheinend das für die Fehlersuche gedachte Direct Connect Interface (DCI) genutzt, das eigentlich deaktiviert sein sollte, doch das ist nicht bei allen Geräten der Fall. Ist es aktiv, können die Forscher das für einen Angriff nutzen, bei dem letztlich über die ME voller Zugriff auf Speicher und Prozessor und damit auf alle Daten möglich ist.

Weder Nutzer noch Betriebssystem können das laut Golem verhindern oder auch nur erkennen. Immerhin scheint für so einen Angriff aber ein physischer Zugriff auf den Rechner notwendig zu sein, und das ermöglicht natürlich auch ganz andere Attacken. Ein Zugriff über die ME wäre aber im Gegensatz zu anderen Angriffen komplett unsichtbar.

Geheimes Betriebssystem Minix ohne Nutzerzugriff

Ursprüngliche Meldung: In vielen PCs, Notebooks und Servern läuft ein Intel-Prozessor. Das ist aufgrund der dominierenden Marktposition von Intel keine Überraschung, doch dass damit auch ein weitgehend unbekanntes Betriebssystem eine ebenso hohe Verbreitung erreicht hat, sorgt für Bedenken bei Sicherheitsexperten.

Praktisch jede Intel-CPU, die in den letzten zehn Jahren veröffentlicht wurde, enthält die sogenannte Intel Management Engine.

Unter diesem harmlos wirkenden Namen versteckt sich ein Betriebssystem namens Minix, das auf einer ganz eigenen CPU innerhalb des Prozessors läuft. Das Besonders an dieser Kombination ist, dass der Nutzer des Rechners keinerlei Zugriff auf diesen Bereich des Prozessors erthält, während Minix dagegen selbst auf alle Bereiche des Rechners und auf alle Daten zugreifen kann.

Das alleine würde schon reichen, um Sicherheitsexperten zu alarmieren, doch dazu kommt, dass Minix keine regelmäßigen Sicherheitsupdates erhält und dadurch einmal gefundene Sicherheitslücken ein besonders großes Risiko darstellen.

Webserver in der CPU versteckt

Noch schlimmer ist aber, welche Software innerhalb der Intel-Prozessoren zusammen mit Minix gefunden wurde: ein kompletter Netzwerk-Stack, ein Dateisystem, viele Treiber für Geräte aus den Bereichen USB, Netzwerk und dergleichen und sogar ein Web-Server.

Intel hat laut dem Bericht von Networkworld also jeden seiner neueren Prozessoren mit einem integrierten Web-Server ausgestattet, auf den der Nutzer keinen Zugriff hat und von dessen Existenz bisher kaum jemand etwas wusste.

Über den Grund dafür sowie den beabsichtigten Einsatz sowie mögliche Gefahren lässt sich viel spekulieren.

Für Google zu unsicher in Servern

Doch die Bedenken haben nun dazu geführt, dass Google Intel-Prozessoren mit Management-Engine (ME) für so unsicher hält, dass man in den eigenen Servern die ME entfernen und alle darauf basierenden UEFI/BIOS-Funktionen durch Open-Source-Software ersetzen will.

Bisher ist nicht bekannt, ob AMD ähnliche Funktionen integriert hat. Falls nicht, dürfte das für manche Unternehmen ein weiterer Grund sein, auf Server-CPUs von AMD zu setzen.

Für private Nutzer mit Intel-Systemen hat Networkworld ebenfalls eine Mitteilung:

"»Wir sind nun alle Minix-Nutzer«."


Kommentare(56)

Nur angemeldete Benutzer können kommentieren und bewerten.