Unsichere Intel-Prozessoren - Dell deaktiviert die Management Engine auf Wunsch

Fast alle aktuellen Prozessoren von Intel weisen mehrere, gefährliche Sicherheitslücken in der integrierten Firmware auf.

von Georg Wieselsberger,
05.12.2017 13:26 Uhr

Auch derr Intel Core i7 8700K ist von dem Problem betroffen.Auch derr Intel Core i7 8700K ist von dem Problem betroffen.

Update: Nachdem der eher kleine Anbieter System76, der sich auf Linux-Rechner spezialisiert hat, die Intel Management Engine in seinen Laptops per Update deaktivieren wird, ziehen nun andere Hersteller nach. Purism will seine Rechner beispielsweise nur noch mit deaktivierter ME verkaufen. Doch wesentlich mehr Aufsehen - auch bei Intel - dürfte nun Dell erregen, immerhin einer der größten PC-Hersteller der Welt.

Aktuell ist es laut liliputing.com schon möglich, drei Business-Laptops der Latitude-Serie bei Dell zu kaufen, die bei der Bestellung eine Zusatzoption für eine deaktivierte ME (ME inoperable) bieten. Dell verlangt für diesen Service allerdings einen Aufpreis zwischen 17 und 30 US-Dollar. Bei hohem Interesse dürften wohl auch bald andere, große Hersteller nachziehen. Ob Dell sein Angebot bald auf andere Serien ausweitet, ist bisher nicht bekannt.

Alle Intel-CPUs der letzten Jahre betroffen

Update: Wie Heise meldet, werden die Forscher Mark Ermolov und Maxim Goryachy von Positive Technologies Research, die die Sicherheitslücken schon im September gemeldet hatten, auf der Black Hat Europe 2017 am 6. Dezember 2017 Details dazu verraten. Das war vermutlich der Grund, warum Intel jetzt selbst die Sicherheitslücken bekanntgegeben hat.

Um die Lücken zu schließen, reicht bei manchen Rechnern auch ein Patch aus, während bei anderen ein BIOS-/UEFI-Update notwendig ist. Bei Servern kann es sogar recht kompliziert werden, da hier gleich drei Updates notwendig sein können. Inzwischen gibt es zwar Updates mancher Hersteller oder zumindest Ankündigungen auf deren Support-Webseiten, doch einige haben bisher noch nicht auf die Probleme reagiert.

Selbst Intel wird erst im Dezember Updates für seine NUC-Mini-Rechner veröffentlichen. Trotz jahrlanger Kritik an der Management Engine scheinen die Probleme also auch Intel recht unvorbereitet getroffen zu haben.

Ursprüngliche Meldung: Schon vor einigen Tagen hatten Sicherheitsforscher darüber berichtet, dass die in Intel-Prozessoren integrierte Firmware Sicherheitslücken aufweist, die von Angreifern dazu genutzt werden könnten, unbemerkt die Kontrolle über den PC zu übernehmen. Intel hat als Reaktion darauf selbst eine interne Sicherheitsüberprüfung der Firmware durchgeführt und dabei ebenfalls Lücken entdeckt, die die Intel Management Engine (ME), die Trusted Execution Engine (TXE) und die Sever Plattform Services (SPS) betreffen.

Die Sicherheitslücken sind in allen Prozessoren ab der 6. Generation der Intel Core-Serie, beispielsweise dem Intel Core i7 6700K, zu finden, allen Xeon-Modellen der E3-1200 v5- und v6-Serie, den Xeon-Prozessoren der Scalable- und W-Serie, der Intel Atom C3000-Reihe, den Apollo-Lake-Prozessoren der Atom- und Pentium-Reihe sowie den Celeron N- und J-Modellen.

Ein Angreifer könnte laut den Ergebnissen von Intel Zugriff auf das System erhalten und alle Features von ME, TXE und SPS nutzen, beliebigen Code laden und ausführen, ohne dass der Nutzer dies sehen könnte oder es Abstürze und Instabilitäten herbeiführen würde.

Test-Tool von Intel

Intel hat ein Tool bereitgestellt, mit dem sich der eigene Prozessor auf die gefundenen Sicherheitslücken hin überprüfen lässt. Nach dem Download findet sich in der entpackten Windows-Version ein Ordner namens Discovery.Tool.GUI, in dem dann die Intel-SA-00086-GUI.exe gestartet werden muss.

Warnt das Tool vor vorhandenen Sicherheitslücken, ist der nächste Anlaufpunkt der Hersteller des verwendeten Mainboards. Dort sollte im Support-Bereich inzwischen ein Tool für eine Aktualisierung der Intel ME angeboten werden. Asus bietet bereits entsprechende Downloads an, Gigabyte hat Updates angekündigt. Im Zweifelsfall sollte der Support des jeweiligen Herstellers kontaktiert werden.


Kommentare(97)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen