Intel-Firmware: Schwachstelle gefährdet Business-PCs bereits seit 2008

Vor kritischen Sicherheitslecks in der Firmware von Active Management Technology (AMT), Standard Manageability (ISM) und Small Business Technology (SBT) warnt Intel in einem entsprechenden Advisory (Intel ID: INTEL-SA-00075). Ein Angreifer kann über mehrere Schwachstellen die eigenen Privilegien ausweiten und letztlich die Kontrolle über das angegriffene System erlangen. Davon sind zahlreiche Business-Plattformen seit 2008 bis heute betroffen.

Die Schwachstellen lassen sich dem Advisory zufolge auf zwei Arten ausnutzen. Ein Remote-Angreifer kann einerseits Kontrolle über die Management-Produkte Active Management Technology und Standard Manageability erlangen. Intel bewertet diesen Fehler mit 9,8 auf einer Skala bis 10 (CVSSv3). Von der zweiten Schwachstelle sind neben beiden genannten Technologien auch die Small Business Technology betroffen. Diesen Fehler bewertet das Unternehmen mit 8,4. Hier warnt Intel, dass ein unprivilegierter Angreifer auf die Management-Features zugreifen und so die eigenen Rechte auf dem lokalen Netzwerk oder einem lokalen System ausweiten kann.

In den drei genannten Produkten sind die Firmware-Versionen 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 und 11.6 betroffen. Versionen vor 6 und nach 11.6 sind laut Intel nicht betroffen. Damit steckt die Lücke in sämtlichen Modellen von Nehalem aus dem Jahr 2008 bis Kaby Lake aus dem Jahr 2017 von dem Leck in der Intel Management Engine betroffen.

Intels Hardware-basiertes Management von PCs in der Ansicht der Active Mangement Technology (AMT). (Bild: Thomas Krenn AG)

Die Intel Active Management Technology, die sich aus Hardware und Firmware zusammensetzt, erlaubt ein Remote-Out-of-Band-Management von PCs. Die Systeme lassen sich über das Hardware-basierte AMT überwachen, pflegen, reparieren und aktualisieren.

„Intel rät daher dringend, dass zunächst als allererster Schritt die genannten Management-Werkzeuge deaktiviert werden sollen“, wie das Unternehmen in einem PDF erklärt. Als zweiten Schritt empfiehlt Intel, den Local Management Service zu deaktivieren oder zu entfernen. LMS lauscht der Manageability Engine (ME) auf den Ports 16992, 16993, 16994, 16995, 623 und 664 und leitet den Traffic über die Firmware auf den MEI-Treiber.

Intel manageability
firmware

Associated
CPU Generation

Resolved
Firmware

X.X.XX.3XXX

6.0.xx.xxxx

1st Gen Core

6.2.61.3535

6.1.xx.xxxx

6.2.61.3535

6.2.xx.xxxx

6.2.61.3535

7.0.xx.xxxx

2nd Gen Core

7.1.91.3272

7.1.xx.xxxx

7.1.91.3272

8.0.xx.xxxx

3rd Gen Core

8.1.71.3608

8.1.xx.xxxx

8.1.71.3608

9.0.xx.xxxx

4th Gen Core

9.1.41.3024

9.1.xx.xxxx

9.1.41.3024

9.5.xx.xxxx

9.5.61.3012

10.0.xx.xxxx

5th Gen Core

10.0.55.3000

11.0.xx.xxxx

6th Gen Core

11.0.25.3001

11.5.xx.xxxx

7th Gen Core

11.6.27.3264

11.6.xx.xxxx

11.6.27.3264

Google-Sicherheitsexperte Matthew Garrett erklärt gegenüber ZDNet.com, dass Nutzer sicherstellen sollten, dass AMT deaktiviert ist: „Um dieses Leck zu beheben, ist ein Firmware-Update nötig, um eine neue Management Engine Firmware mit samt einer aktualisierten Version des AMT-Codes bekommen zu können. Viele der betroffenen Systeme aber werden nicht mehr von den Herstellern mit Firmware-Updates versorgt und werden daher voraussichtlich nie einen Fix bekommen.“ Daher sei jeder, der AMT auf einem seiner Rechner aktiviert habe, über dieses Leck angreifbar.

Firmware-Updates seien zudem häufig nicht als sicherheitsrelevant gekennzeichnet und würden auch nicht über Windows Update verteilt. Daher werden Nutzer, selbst wenn ein Hersteller ein Update zur Verfügung stellt, nicht informiert und installieren folglich die Aktualisierung meist auch nicht.

Allerdings sind nur Systeme betroffen, die mit Intels vPro-Technologie ausgerüstet sind. Das ist in aller Regel nur bei gewerblich genutzten Rechnern der Fall. Entdeckt hat laut Intel das Leck Maksim Malyutin von Embedi, wohingegen ein Team von SemiAccurate erklärt, das Leck bereits vor fünf Jahren entdeckt zu haben.

[mit Material von Martin Schindler, silicon.de]

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago