X
Kommentare zu:

Auch Intel läuft auf Security-GAU zu: Unpatchbare Firmware in CPUs

oder

Zugangsdaten vergessen?

Jetzt kostenlos Registrieren!
[o1] AlexKeller am 10.11. 11:57
+7 -5
Ich weiss nicht, ob hier die Bits-Nudeln zu heiss gegessen werden.
Man muss doch für den Zugriff direkt vor dem Computer sitzen, so viel ich weiss.

Aber da kenne ich auch noch andere schwache Schnittstellen! Übers Board, RJ45, USB, DisplayPort / USB-C (eigener Controller-Chip+System). Dann weiter über die BIOS-Firmware, dort kann man u. a. ME sowie vPRO deaktivieren etc. Das Beste ist noch, es gibt bei gewissen BIOS-Firmware einen Bug der Harddisk-Verschlüsselung, die man mit Ctrl+Alt+Delete umgehen kann, bis heute noch nicht von HP geflickt.

Der Computer ist nach meiner Meinung IMMER angreifbar, wenn man physischen Zugriff hat!
[re:1] bear7 am 10.11. 12:06
+4 -
@AlexKeller: ja, oft werden diverse Probleme extrem aufgeplustert...

=> dennoch soll man solche Probleme auch nicht unterschätzen <- weil später gehts über die Netzwerkkarte und noch n stück später durch den Router (und dann hat man im ganzen Netz Zugriff auf die Computer)...
[re:2] pappkamerad am 10.11. 12:28
+3 -2
@AlexKeller: ME deaktivieren? Wie soll das gehen, es ist schließlich die Zentrale "Management Engine" für all die Komponenten die du gerande nanntest...
Was ich mich außerdem frage, warum soll das Patchen nicht möglich sein. Ich mache das ständig bei unseren ThinkPads (sofern es Updates gibt)
[re:1] AlexKeller am 10.11. 13:36
+2 -
@pappkamerad: im neueren UEFI BIOS solltest du es auf jedem Fall unter Konfiguration - > AMT / ME deaktivieren können.

beim älteren BIOS solltest du es unter Management Configuration deaktivieren können.

Auf jeden Fall sollte dann der Tastenaufruf zur MEBx Console unterbunden sein.

... wieso zentral? Meines Wissens wird es als BIOS-Extension kennzeichnet, also eine Erweiterung.
[re:1] pappkamerad am 10.11. 13:52
+4 -1
@AlexKeller: Das was man da deaktivieren kann ist lediglich der Fernzugriff (AMT) auf die ME, aber doch nicht die ME selbst?!
[re:1] AlexKeller am 10.11. 14:08
+1 -
@pappkamerad: werde am Montag mal nachschauen, bin mir selbst nicht mehr gerade so sicher...
[re:2] pappkamerad am 10.11. 14:11
+2 -
@AlexKeller: Hab gerade auch nur etwas darüber gefunden, dass es wohl teilweise abschaltbar ist, aber eben nicht vollständig. Und das es per BIOS geht, wusste ich bisher auch nicht. Die Frage bleibt also, ist die ME dann wirklich vollständig aus? Das kann wohl nur Intel beantworten :(
[re:3] DK2000 am 10.11. 18:21
+1 -
@pappkamerad: Nein, die ME kann man leider nicht vollständig deaktivieren, weil dann der Rechner nicht mehr wirklich läuft. Die ME war mal als Basis für das o.g. AMT gedacht, aber heute wird sie für alles Mögliche verwendet, so z.B. auch für die aktive Lüftersteuerung, das Übertakten von Windows aus usw.

Da die ME vollkommen unabhängig mit eigenem Prozessor und Betriebssystem läuft, stellt sie eine Gefahr für das System an sich dar, da sie quasi unüberwacht vollen Zugriff darauf hat. Das wurde in der Vergangenheit auch schon oft kritisiert. Nicht umsonst besitzt die ME einen mittlerweile entdeckten undokumentierten 'Ausschalter' für Rechner der NSA (ja, die mögen die ME auch nicht, jedenfalls nicht auf eigenen Rechnern) bzw. für High-Assurance Platforms (HAP). Damit lässt sich die ME 11 in weiten Teilen abschalten, aber nicht deaktivieren. Allerdings wird dieser Schalter in normalen BIOS/UEFI Versionen nicht verwendet bzw. es existiert überhaupt keine Möglichkeit, die ME teilweise zu deaktivieren.

Da Intel praktisch keine brauchbare Dokumentation für das Innenleben der ME zur Verfügung stellt, ist es hier schwer zu sagen, wie das alles im einzelnen läuft. Man kommt da im Moment nur durch Reverse Engineering des verwendeten OS dahinter, was da so im Hintergrund abläuft, ohne dass man etwas davon mit bekommt.
[re:3] Niccolo Machiavelli am 10.11. 15:23
+1 -1
@AlexKeller: Da liegst du falsch. Die ME wurde explizit für das Remote Management entworfen
[re:1] AlexKeller am 10.11. 16:57
+ -1
@Niccolo Machiavelli + @pappkamerad: Hi, habe zwar momentan keinen Rechner zur Hand mit ME, habe aber mich dennoch kurz ein wenig schlau gemacht.

Ja, es stimmt, Intel ME ist auf einem Platform Controller Hub (PCH) und daher eigenständig, also unabhängig von der CPU, LAN-Controller und dem FLASH. ME ist ein eigenständiges System, genauer ein Minix OS.

.... was mich aber dennoch stutzig macht, die Intel ME Firmware wie auch die Intel ME Data sind auf dem FLASH, also genau dort wo auch das UEFI ist, wenn man also Zugriff auf das UEFI hätte, könnte man die Firmware wie auch die Data unterbinden, manipulieren.

Habe mal einen ME Treiber entpackt, dort sind u.a. Host Embedded Controller Interface (HECI)-Treiber,TeeDriver (Chipset-Treiber) und Serial Over LAN (SOL) Treiber hinterlegt.
[o2] MancusNemo am 10.11. 12:26
+7 -1
Es ist also nur noch eine Frage der Zeit. Dann kann man sofern man die Router überwindet alle Rechner einfach verschlüsseln, löschen, sonst wie Manipulieren. Man könnte sich nur dadurch schützen, dass diese ME abgeschaltet wird oder die Hardware getauscht wird. Super, nicht!
[re:1] PranKe01 am 10.11. 12:54
+2 -1
@MancusNemo: Wäre mega interessant was passieren würde, wenn sowas wirklich passiert. Also wenn von heute auf morgen alle Intel-PCs die Daten verlieren würden. Ein kompletter Daten-Neustart...
[re:1] MancusNemo am 10.11. 15:28
+3 -2
@PranKe01: Nicht wirklich. Backups. Außerdem werden diese CPUs erst seit 2015 verkauft. Also könnte es sich wohl noch im Rahmen bewegen. Lediglich die Kisten mit dem Fehler würde ich mindestens die CPU rausrupfen und wegwerfen und von der Konkurenz kaufen. Intel hat es einfach nicht verdient!
[re:1] DK2000 am 10.11. 23:30
+1 -
@MancusNemo: Streng genommen gibt es das bei Intel seit 2008. Und momentan gibt es ja noch gar keinen bekannten Fehler, welcher ausgenutzt werden könnte. Man hat es mittlerweile nur geschafft, Zugang zu dem Code zu erlangen und kann ihn jetzt auf Schwachstellen abklappern. Ob man etwas finden wird und es dann auch ausnutzen kann, ist eine andere Frage.

Und Konkurrenz? Welche Konkurrenz? AMD verwendet etwas vergleichbares nach dem selben Prinzip. Und ob die AMD Lösung wirklich fehlerfrei ist, weiß auch keiner.
[re:1] M4dr1cks am 11.11. 17:02
+ -1
@DK2000: Naja, AMD hat sich gefälligst anzustrengen und was Intel betrifft, kann ich nicht verstehen, für was man für solch einen Rotz so viel Geld hinlegt :)
[re:2] Chris Sedlmair am 13.11. 23:22
+2 -
@DK2000: Dann kann man sich entscheiden zwischen einer Lösung, in der man 100%ig angreifbar ist und einer, in der man evtl davonkommt. Spricht immer noch für AMD.
[re:2] nipos am 10.11. 13:01
+6 -5
@MancusNemo: Oder man hat einfach einen AMD Prozessor.
Ich habs eigentlich gemacht,weil er ziemlich gute Leistung bringt zu einem geringeren Preis,als bei Intel.
Als das alles rausgekommen ist,war ich sehr gluecklich darueber,dass ich mich so entschieden hab.
[re:1] Freddy2712 am 10.11. 13:39
+4 -2
@nipos: Gebe dir auf jedenfall Recht was AMD angeht mein nächster wird wohl auch wieder AMD aber ob AMD da so viel sicherer ist oder eine andere Hardware Schwachstelle hat weiß derzeit niemand.
[re:2] MancusNemo am 10.11. 15:25
+4 -
@nipos: AMD hat auch so was drin die nennen es nur anders. Wird langfristig auch da aufs gleiche rauslaufen!
[re:1] DerTigga am 10.11. 20:11
+ -1
@MancusNemo: Da du es genau zu wissen scheinst: wie nennt es sich denn bei AMD ? Womöglich sollte ich mir deines Wissens nach die geplante Ryzen Anschaffung nochmal überlegen ? Gut gefallen würde mir das allerdings nicht..
[re:1] DK2000 am 10.11. 20:43
+1 -
@DerTigga: Das nennt sich bei AMD Platform Security Processor (PSP) bzw. jetzt nur noch AMD Secure Processor. Befindet sich auf jeden Fall in allen aktuellen AMD CPUs, APUs und in eignen GPUs. Funktioniert ähnlich wie bei Intel, nur das hier ein ARM Cortex als unabhängige Basis dient. Aber wie das alles genau funktioniert, darüber schweigt sich AMD wohl aus lizenzrechtlichen Gründen aus.
[re:3] marion_shittfucker am 10.11. 23:13
+ -
@nipos: AMD ist auch nicht besser:
https://www.heise.de/newsticker/meldung/Free-Software-Foundation-kritisiert-AMD-und-Intel-3236705.html
[re:1] SegFault am 13.11. 07:56
+ -
@marion_shittfucker: Schon mal was vom "tu quoque"-Argument gehört?
[o3] AndyMutz am 10.11. 13:59
+3 -
und die ME firmware updates helfen da nicht gegen? die kann ja jeder selber einspielen, entweder zusammen mit einem BIOS update oder händisch nur die firmware aktualisieren.
[re:1] MancusNemo am 10.11. 15:26
+2 -2
@AndyMutz: Leider nicht, das einzigste was klappen könnte ein Patch um den Müll abzustellen. Auf Servern kann sowas durchaus sinn machen, aber nicht auf Privatrechnern und google will es auch nicht haben.
[re:1] SunnyMarx am 11.11. 01:38
+1 -2
@MancusNemo: Einzigste? Ganz ehrlich???
[o4] Suchiman am 10.11. 14:00
+4 -
"Damit kann dieses im Grunde von sich behaupten, so ziemlich das weit verbreitetste System der Welt zu sein" - Kann es nicht, MINIX ist in Intel CPUs seit Skylake (2015) drin, und die Intel CPUs die in den letzten 2 Jahren erschienen sind machen nicht den größten teil aller Computer jeder Art aus.
[re:1] DK2000 am 10.11. 18:37
+ -
@Suchiman: Das siehst Du richtig. MINIX wird erst seit der ME 11 verwendet, davor war es RTOS mit einem anderen Prozessor. Und, der KRam ist auch nur bei den SoCs in der CPU enthalten, ansonsten steckt die ME im Chipsatz. Jedenfalls geht man davon seit 2015 wieder aus. Aber genaue Angaben macht Intel dazu leider nicht.
[o5] Verbrutzelmann am 10.11. 16:07
+1 -
Könnte man nicht vielleicht den Exploit nutzen um den Patch einzuspielen? Für einzelne PCs wäre das zwar recht unpraktisch, aber für Firmen könnte das durchaus klappen.
[o6] E1nstein am 10.11. 19:32
+1 -1
Hatte schon immer einer gewisse Abneigung gegen UEFI im vergleich zum Bios - das ist für meinen Geschmack zu sehr aufgebauscht. Je komplexer ein System ist, desto mehr Fehler sind wohl drinnen und umso mehr Schaden kann man anrichten, wenn man erst drinnen ist.
Es lebe das alte BIOS.
[re:1] DK2000 am 10.11. 19:47
+ -
@E1nstein: Das hat nichts mit BIOS oder UEFI zu tun. Die ME läuft davon vollkommen unabhängig als eigenständiges Betriebssystem mit eigenem Prozessor. Seit der ME 11 ist das MINIX auf einem Intel Quark, davor war es RTOS auf einem ARCtangent bzw ARCompact. Implementiert ist das Ganze in dem Platform Controller Hub (PCH), der entweder Teil des Chipsatzes ist oder in der CPU selber hockt.
[re:2] erne am 17.11. 11:35
+ -
@E1nstein: Ich habe noch nicht einen einzigen Fall kennengelernt, wo UEFI erforderlich war. Ganz im Gegenteil - mit UEFI hatte ich Probleme, die nach Umschalten auf BIOS beseitigt waren.
[o7] Elkinator am 10.11. 20:59
+ -
Egal, die Kunden werden die betroffenen Chips auch weiterhin kaufen...
[re:1] DK2000 am 10.11. 23:31
+ -
@Elkinator: Was bleibt einem auch anderes übrig?
[re:1] Elkinator am 10.11. 23:36
+ -1
@DK2000: Ist die Frage ernst gemeint?
[re:1] DK2000 am 10.11. 23:48
+ -
@Elkinator: Natürlich ist die Frage ernst gemeint. Das Intel ME gibt es seit 2008 praktisch auf allen Boards, da es im Chipsatz bzw. CPU implementiert ist (bei Consumer Produkten dann aber meist ohne ATM BIOS Erweiterung, so das es einem nicht unbedingt bewusst ist). Und AMD implementiert in ihren aktuellen und auch älteren CPUs/APUs/GPUs etwas vergleichbares mit ARM Cortex-A5 mit eigenem OS und nennt das Ganze 'Secure Processor'. Von daher, was bleibt einem anderes übrig?

Den Mist findet man praktisch überall. Nur bei Intel ist das im Moment Gesprächsthema, weil man endlich Zugang zu dem Code gefunden hat und ihn analysieren kann. Eventuell findet auch mal jemand Zugang zu dem Code, den AMD verwendet.
[re:1] Elkinator am 10.11. 23:54
+ -1
@DK2000: Mein Posting nicht verstanden?

Bei AMD ist noch keine so gefährliche Lücke bekannt.

Bei intel aber schon, spätestens jetzt sollte man die Finger davon lassen!!

Vielleicht, aber darum geht es gerade eben nicht...
"Eventuell findet auch mal jemand Zugang zu dem Code, den AMD verwendet."
[re:2] DK2000 am 10.11. 23:57
+ -
@Elkinator: Bei Intel ist derzeit auch keine gefährliche Lücke in der ME selber bekannt, außer halt, dass man auf dem Code zugreifen kann. Die im Mai von Intel betätigte Schwachstelle betraf nur die Firmware. Und die kann man normal Updaten.
[re:3] Elkinator am 11.11. 00:13
+ -
@DK2000: Man hat eh nur vollen Zugriff auf RAM und CPU, total ungefährlich!
[re:4] DK2000 am 11.11. 00:54
+ -
@Elkinator: Muss mich da leider selber korrigieren, da dass, was ich geschrieben habe, nicht stimmt. Das kommt davon, wenn man sich auf News Artikel verlässt und nicht selber bei der eigentlichen Quelle recherchiert.

Fehler 1: Nur bei den SoCs befindet sich die ME v11 in der CPU. Bei allen anderen CPUs in der Southbridge (PCH-100 und neuer). Davor war sie mal in der Northbridge, da diese in der CPU verschwand, war dann auch die ME in der CPU. Aber jetzt ist sie wohl wieder draußen.

Fehler 2: Es gibt derzeit keine bekannte Möglichkeit, generell auf dem Code im PCH zuzugreifen, weder lesend noch schreibend. Alle gewonnen Erkenntnis basieren auf eine Vorabversion einer Firmware, welche ein ROMB (ROM BYPASS) Modul besitzt. Und hier wird jetzt angenommen, dass dieses Modul die Funktionalität des Codes im PCH darstellt und man dadurch Erkenntnisse erlangt, was da abläuft. Da man aber, wie gesagt, keinen Zugriff auf den Code in der Hardware hat, ist das Spekulation, aber durchaus möglich.

Es soll aber wohl bei Embedded Systemen gelungen sein, über den USB DCI Anschluss direkten Zugriff auf die CSME zu bekommen. Allerdings auch mit der Einschränkung, dass das System für den Zugriff ausgestattet ist (DCI OOB capability) und man entsprechendes Kabel hat. Generell soll das nicht gehen.

Muss das Ganze noch mal bei Tage genaue durchlesen. Ist etwas komplexer das Thema.

Ist also momentan wohl alles weniger schlimm, als ich jetzt angenommen habe. Wird bloß wieder in den Medien etwas anders dargestellt und reißerisch aufbereitet.
[re:5] SunnyMarx am 11.11. 01:44
+ -
@DK2000: Also so wie der Artikel von Dir? Etwas reißerischer Titel, etwas viel Übertreibungen? Warum ist der Artikel dann überhaupt noch online und nicht von der Seite genommen, um später in korrekter Fassung erneut veröffentlicht zu werden?
[re:6] DK2000 am 11.11. 10:58
+ -
@SunnyMarx: ist nicht mein Artikel. Bin hier kein Redakteur. ;)
[re:7] SunnyMarx am 11.11. 12:05
+ -
@DK2000: Dann entschuldige bitte.
[o8] Bachsau am 12.11. 05:53
+ -
- -
[o9] BartS am 12.11. 22:22
+ -
"Patchen ist fast unmöglich"

Ach ja? Und wie gelang das dann im Mai, siehe https://www.heise.de/security/meldung/Sicherheitsluecke-in-vielen-Intel-Systemen-seit-2010-3700880.html ?
[10] erne am 17.11. 11:32
+ -
Ich verabscheute Linux bisher. Und zwar aus dem einen Grund - dem elitären Gehabe der Linjux- Nutzer. Und der Bastelei, zu der man bei so mancher Hardware (Grafik, Drucker usw) gezwungen ist.
Deshalb nutze ich auf allen meinen PCs Windows 7.
Ich, wie auch so fast alle meine Bekannten.
Aber sollte aus irgend einem Grunde Win7 nicht mehr laufen (fehlende Updates sind für mich kein Grund - auch zwei meiner XP- PCs laufen noch. Nicht korrumpiert!) dann werde ich wohl zu Lnux wechseln.
Zu Windows 10 Niiiiemals!
Und das, obwohl ich auch mehrere Win10- Lizenzen besitze. Die ich aber ausschließlich nur aktualisiere, keinesfalls damit arbeite.
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture