Intel warnt vor einer kritischen Schwachstelle (INTEL-SA-00075) in der Firmware der „Active Management Technology“ (AMT), „Standard Manageability“ (ISM) und „Small Business Technology“ (SBT). Ein potentieller Angreifer kann über mehrere Schwachstellen die eigenen Privilegien ausweiten und die Kontrolle über das angegriffene System erlangen. Von dem Problem sind zahlreiche Businesssysteme mit Intel Prozessor(en) von 2008 bis heute betroffen.
Die „Active Management Technology“ setzt sich aus Hardware und Firmware zusammen und erlaubt ein remote „Out-of-Band-Management“ von Systemen sprich deren Überwachung, Pflege und Reparatur sowie Aktualisierung.
Um die Schwachstellen zu beseitigen ist eine Aktualisierung der Firmware nötig. Problematisch in diesem Zusammenhang wird es sein, das die jeweiligen Hersteller viele der betroffenen Plattformen nicht oder nicht mehr mit Firmware Aktualisierungen versorgen werden. Wie auch Intel empfehlen wir daher auf den betroffenen Systemen die AMT vollständig zu deaktivieren.
Für einen Angriff bei den ME Versionen der AMT und der „Intel Standard Manageability“ (ISM) müssen die Fernwartungsfunktionen eingeschaltet und eingerichtet (provisioned) sein. Die Schwachstelle bei der „Small Business Advantage“ (SBA) Version lässt sich nur von lokalen Angreifern mit Zugriff auf ein betroffenes System missbrauchen.
Betroffene Systeme:
Betroffen können alle Systeme mit Intel Core i3, Core i5, Core i7 sowie Xenon, Pentium, und Celeron sein, die seit etwa 2008 auf dem Markt kamen und mit der betroffenen AMT Version 6.x bis 11.6 ausgestattet sind („Nehalem“ bis „Kaby Lake“).
Arbeitsplätze und Notebooks mit der ME-Version von AMT (besondere Intel-Netzwerkchips für LAN und WLAN mit Fernzugriff auf BIOS und Remote KVM) werden typischerweise mit dem Zusatz „vPRO“ vermarktet. Die Chipsatzbezeichnung beginnt hier typischerweise mit einem „Q“ (Bsw.: Q57).
Betroffen sind auch die Mobilversionen der Chipsätze. In den verbreiteten Stromsparversionen der Intel CPUs (U) sind die Chipsätze allerdings integriert, weshalb eine Identifikation schwierig werden dürfte. Betroffen sind aber wohl die meisten Businessversionen der großen Markenhersteller.
AMT-Versionen vor 6.x und nach 11.6 sind laut Intel nicht betroffen.
| Intel manageability firmware | Associated CPU Generation | Resolved Firmware |
| 6.0.xx.xxxx | 1st Gen Core | 6.2.61.3535 |
| 6.1.xx.xxxx | 6.2.61.3535 | |
| 6.2.xx.xxxx | 6.2.61.3535 | |
| 7.0.xx.xxxx | 2nd Gen Core | 7.1.91.3272 |
| 7.1.xx.xxxx | 7.1.91.3272 | |
| 8.0.xx.xxxx | 3rd Gen Core | 8.1.71.3608 |
| 8.1.xx.xxxx | 8.1.71.3608 | |
| 9.0.xx.xxxx | 4th Gen Core | 9.1.41.3024 |
| 9.1.xx.xxxx | 9.1.41.3024 | |
| 9.5.xx.xxxx | 9.5.61.3012 | |
| 10.0.xx.xxxx | 5th Gen Core | 10.0.55.3000 |
| 11.0.xx.xxxx | 6th Gen Core | 11.0.25.3001 |
| 11.5.xx.xxxx | 7th Gen Core | 11.6.27.3264 |
| 11.6.xx.xxxx | 11.6.27.3264 |
Intel System Discovery Utility – Betroffene Systeme erkennen
Intel erklärt im „INTEL-SA-00075 Detection Guide“ wie betroffene Systeme unter Windows 7 und Windows 10 erkannt werden. Dazu verwendet man das „Intel SDS – System Discovery Utility.
Laden Sie das Intel System Discovery Utility herunter und entpacken Sie das Archiv (ZIP) in einen Ordner unter „C:“ (bsw.: temp)
Starten Sie eine „Eingabeaufforderung“ mit erweiterten Rechten (Als Administrator ausführen) (Abb.:01).
Starten Sie das Intel Discovery Utility mit der Eingabe von „C:\temp\SCSDiscovery.exe SystemDiscovery“ (Abb.: 02) und bestätigen Sie die Eingabe.
Nach dem Durchlauf (Abb.:03) finden Sie in ihrem „temp“ Verzeichnis zusätzlich eine XML-Datei und eine LOG-Datei. Öffnen Sie die XML-Datei mit einem Doppelklick in Ihrem Browser.
Suchen Sie in der XML-Datei den Bereich <ManageabilityInfo> und den Eintrag <FWVersion>
Prüfen Sie ob ihre Version betroffen ist. Im Zweifel senden Sie uns Ihre XML-Datei per E-Mail und wir überprüfen dies für Sie.
Unter <Capabilities> können Sie auch erkennen ob bereits alle Funktionen von AMT deaktiviert sind.
Beispiel (XML) eines Core2Duo (Version älter als 6.x daher nicht betroffen):
Beispiel (XML) eines i3:
Abb.: 06
Quellen und Verweise zum Thema:
- Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege (INTEL-SA-00075)
- Intel® SCS – System Discovery Utility
- INTEL-SA-00075 Detection Guide
- INTEL-SA-00075 Mitigation Guide
- Intel AMT vulnerability hits business chips from 2008 onwards (ZDNet – 02.05.2017)
- Bug in Intel-Firmware gefährdet Business-PCs seit 2008 (silicon – 02.05.2017)
- Sicherheitslücke in vielen Intel-Systemen seit 2010 (heise Security – 02.05.2017)
- Intel-Firmware: Schwachstelle gefährdet Business-PCs bereits seit 2008 (ZDNet – 03.05.2017)
- Intel-ME-Sicherheitslücke: Erste Produktliste, noch keine Updates (heise Security 04.05.2017)
- Hersteller kündigen Patches für Intel-Exploit an (golem.de – 05.05.2017)
- Intel patzt mit Anfängerfehler in AMT (golem.de – 06.05.2017)
- Forscher: Sicherheitslücke in Intel-Firmware lässt sich leicht ausnutzen (ZDNet – 08.05.2017)
Hintergrundinformationen:
- Wandelbare Verwaltungsmaschine – Das leistet die „Management Engine“ in Intel-Chipsätzen (c’t 13/2014, Seite 138)
- BSI warnt vor Risiko bei Intels Fernwartungstechnik AMT (heise Security – 28.08.2015)