Intel: Downgrade der Management Engine soll unmöglich werden
Um die Ausnutzung älterer Sicherheitslücken in Intels Management Engine zu unterbinden will der Hersteller ab sofort die Versionsnummern der entsprechenden Firmware in einem gesonderten Speicherbaustein sichern, der nicht überschrieben werden kann. Ist die Nummer der Software niedriger als die im Speicher deaktiviert sich die Management Engine selbstständig.
Die seit 2008 in allen Prozessoren von Intel integrierte Management Engine (Intel ME) bereitet der Chipschmiede schon seit längerer Zeit Probleme. Beispielsweise gelang es einigen Sicherheitsforschern im November, einen vollständigen Zugriff auf die Engine zu erhalten. Verwendet wurde dafür die USB-Schnittstelle in Kombination mit Intels Direct Connect Interface (DCI). Dieses ist eigentlich nur für einen simplen Debug-Zugriff gedacht, über die gefundene Lücke kann aber ein vollständiger Zugriff erreicht werden.
Bereits Mitte des Jahres gelang es Forschern beliebigen Code auf der Engine auszuführen, die aus einem einzelnen 32-Bit-x86-Kern besteht und das freie Betriebssystem Minix einsetzt. Eine derartige Manipulation kann laut Microsoft beispielsweise dazu dienen um Dateien unentdeckt zu versenden oder Firmennetzwerke anzugreifen.
Intels Management Engine soll es größeren Unternehmen ermöglichen ohne größeren Aufwand Updates auf die Firmenrechner zu spielen. Die dafür verwendete Technik heißt Intel Active Management Technology (iAMT), vor der das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 2015 gewarnt hat: iAMT könne ohne Zutun des Nutzers von außen aktiviert werden.
Um weitere Komplikationen mit der Management Engine zu unterbinden möchte Intel nun ein Downgrade der dazugehörigen Firmware verhindern. Bislang war es möglich auf Prozessoren eine ältere Firmware aufzuspielen und die darin noch enthaltenen Sicherheitslücken auszunutzen.
Mit der nun kommenden Version 12 von Intels ME sollen die Versionsnummern der Software in einem dedizierten Speicher (Field Programmable Fuse, FPF) gesichert werden, der nicht überschrieben werden kann. Wird nun eine andere Firmware installiert, so muss deren Versionsnummer höher sein als die eingespeicherte - sonst verweigert die Management Engine den Dienst.
Die Management Engine Version 12 soll für Intel Cannon-Lake und Coffee-Lake zur Verfügung stehen, die beschriebene Funktion wiederum ist allerdings nicht zwangsläufig aktiviert. Intel empfiehlt den OEMs zwar eine Aktivierung, standardmäßig soll es diese aber noch nicht geben.
Zitat: "Ist die Nummer der Software niedriger als die im Speicher deaktiviert sich die Management Engine selbstständig."
Ah ja. Also falls in Zukunft weitere kritische Fehler in der IME erkannt würden und die gespeicherten Versionsnummern dieser dann wiederum kompromitierbaren Versionen nicht geändert werden können, dann funktioniert eine Übernahme ja trotzdem noch mit der dann im Chip gespeicherten Version, ohne das der Besitzer etwas mitbekommt. Was soll das jetzt also bringen, außer dem Vorgaukeln falscher Sicherheit?
Wobei der Mitarbeiter wohl kaum weiß, wie das geht.