Erste BIOS-Updates für Intel ME Sicherheitslücke

Bereits am 22.11.2017 hat­te das BSI in einer öffent­li­chen Warn­mel­dung (CB-K17/2012) mit­ge­teilt, dass diver­se Sys­te­me mit neu­es­ten Intel-Pro­zes­so­ren von einer als hoch (Risi­ko­stu­fe 4) ein­ge­stuf­ten Sicher­heits­lü­cke betrof­fen sind. Die Lücke steckt dabei genau genom­men nicht in den Pro­zes­so­ren, son­dern in der Intel Manage­ment Engi­ne, kurz: ME. Die ME war in der Ver­gan­gen­heit schon des öfte­ren in die Kri­tik gera­ten, da es sich prak­tisch um ein eige­nes Sys­tem unter dem regu­lä­ren x86-Sys­tem han­delt, das von Intel weder doku­men­tiert wird, noch Quell­codes öffent­lich sind, und damit ohne Zutun und Kon­trol­le des Anwen­ders Unheil stif­ten kann. Die jüngs­te Lücke liest sich laut BSI wiefolgt:

Meh­re­re Schwach­stel­len in der Firm­ware der Intel Manage­ment Engi­ne (Intel ME 11.0.0–11.7.0), der Intel Trus­ted Exe­cu­ti­on Engi­ne (Intel TXE 3.0) und den Intel Ser­ver Plat­form Ser­vices (Intel SPS 4.0) ermög­li­chen einem loka­len, in einem Fall auch ent­fern­ten, ein­fach authen­ti­sier­ten Angrei­fer die Aus­füh­rung belie­bi­gen Pro­gramm­codes, wodurch die­ser ein Sys­tem auch kom­plett über­neh­men kann. Für den erfolg­rei­chen Angriff aus der Fer­ne muss der Angrei­fer über Admi­nis­tra­tor­pri­vi­le­gi­en verfügen. 

Am 28.11.2017 hat Intel selbst eine Mit­tei­lung ver­öf­fent­licht, in der die betrof­fe­nen Sys­te­me benannt werden:

Sys­tems using Intel ME Firm­ware ver­si­ons 11.0.0 through 11.7.0, SPS Firm­ware ver­si­on 4.0, and TXE ver­si­on 3.0 are impac­ted. You may find the­se firm­ware ver­si­ons on cer­tain pro­ces­sors from the:

6th, 7th, and 8th gene­ra­ti­on Intel® Core™ Pro­ces­sor Family
Intel® Xeon® Pro­ces­sor E3-1200 v5 and v6 Pro­duct Family
Intel® Xeon® Pro­ces­sor Sca­lable Family
Intel® Xeon® Pro­ces­sor W Family
Intel Atom® C3000 Pro­ces­sor Family
Apol­lo Lake Intel Atom® Pro­ces­sor E3900 series
Apol­lo Lake Intel® Pen­ti­um® Processors
Intel® Cele­ron® N and J series Processors

Zudem hat Intel ein Tool bereit­ge­stellt, mit dem geprüft wer­den kann, ob man von de ME-Lücke betrof­fen ist.

Heu­te nun hat mit MSI der ers­te Main­board-Her­stel­ler BIOS-Updates ange­kün­digt, dar­un­ter auch für die brand­neu­en Z370-Boards. Im haus­ei­ge­nen Forum gibt’s zudem Hil­fe­stel­lung. Die übri­gen Her­stel­ler wer­den sicher­lich in den kom­men­den Tagen folgen.