CleanPress

Schlagwort: Intel ME

  • Intel x86 – Sackgasse ohne Ausweg

    Intel x86 Bild: Hacker | Quelle: The Preiser Project | Lizenz: CC BY 2.0[/caption]

    Intels CPU-Sparte hat viele Probleme und es werden nicht weniger. Neben den Prozessorlücken Meltdown und Spectre, die tief im Silizium der Chips sitzen und fast im Wochentakt neue Angriffsvektoren offenbaren, entdecken Forscher auch immer wieder neue Sicherheitslücken in der Management Engine (ME) und der Active Management Technology (AMT). Aus Anwendersicht ist Intels x86-Schiene nichts weniger als eine Sackgasse.

    Volle Kontrolle

    Genauso wenig wie Meltdown und Spectre aus den derzeit verkauften Prozessorgenerationen entfernt werden kann, genauso wenig wird Intel jemals die Kontrolle über den ausgeführten Code in der ME aufgeben. Die Management Engine (ME), die beim Booten, zur Laufzeit und im Schlafmodus aktiv ist, wird über die permanente 5-V-Versorgung aus dem Netzteil gespeist und ist ein zusätzlicher Mikroprozessor, der in moderne Intel x86 CPUs eingebettet ist. Darin läuft ein Intel-signierter proprietärer Binär-Blob, der unter anderem über ein eigenes Betriebssystem und einen eigenen Webserver verfügt.Die ME hat direkten Zugriff auf das RAM, das Display, die Tastatur und das Netzwerk. Aufgrund der von der Hardware erzwungenen Code-Signing-Beschränkungen kann sie vom Benutzer nicht verändert oder ersetzt werden. AMD x86 CPUs haben übrigens einen ähnlichen Mikroprozessor, der auf den unverfänglichen Namen »Platform Security Processor«. Er ist auf genau die gleiche Weise abgeschottet.

    Löchriger Käse

    Die Sicherheitslücken in der ME sind ein Leckerbissen für jeden kriminellen Hacker, denn ein Eindringen in einen Rechner über die ME kann über lange Zeit unbemerkt bleiben. So wird zum Ausnutzen der aktuellen Lücke in der AMT nicht einmal mehr ein Admin-Account benötigt. Der Angriff kann nach Aussagen der Forscher von Positive Technologies ohne jede Autorisierung durchgeführt werden, wenn sich der Angreifer im gleichen Subnetz befindet.

    Besorgniserregende Technologie

    Als Anwender haben wir wenig bis keine Möglichkeiten, dem Bermudadreick Management Engine zu entkommen. Das hat die polnische Sicherheitsforscherin Joanna Rutkowska, die auch das Betriebssystem Qubes OS entwickelt, bereits 2015 in ihrem Essay Intel x86 considered harmful (PDF) als Fazit dargelegt.

    »Wir haben gesehen, dass Intel ME potenziell eine sehr besorgniserregende Technologie ist. Wir können nicht wissen, was alles wirklich in diesem Co-Prozessor ausgeführt wird, der immer eingeschaltet ist und der vollen Zugriff auf den Speicher unseres Hostsystems hat. Wir können ihn auch nicht deaktivieren. Wenn Du denkst, dass dies wie ein schlechter Witz klingt oder wie eine Szene, die von George Orwells Arbeit inspiriert ist, lieber Leser, dann bist Du nicht allein mit diesem Gedanken…« Joanna Rutkowska, Invisible Things Lab

    Ohne ME kein Booten

    In den letzten zwei Jahren haben einige Notebook-Hersteller wie Purism, System 76, Dell oder Tuxedo Computers daran gearbeitet, Intels ME zu neutralisieren und – einen Schritt weiter – zu deaktivieren.  Das ist ein sehr arbeit-intensives Unterfangen, an dem auch bei Google gearbeitet wird. Grundlegende Arbeit hat hier auch das Team von Positive Technologies geleistet. Die Entfernung gelingt bestenfalls zu rund 90 Prozent und Purism ist mit seinen Librem-Notebooks hier am weitesten fortgeschritten. Wird die ME völlig ausgeschaltet, hindert das den Rechner am Hochfahren. Also müssen einige Module der frühen Bootphase aktiv sein, um den Rechner überhaupt zu starten.

    Google gegen ME

    Google-Sicherheitsforscher Robert Minnich, der unter anderem auch an Linux Boot arbeitet,  geht davon aus, dass es viele Jahre dauern wird, bis die ME völlig unschädlich gemacht werden kann. Da man, ohne Aluhutträger zu sein, davon ausgehen kann, dass ME durch die NSA infiltriert ist, sind das keine rosigen Aussichten. Außerdem ist da noch das in Coreboot vorhandene Intel Firmware Support Package (FSP), das der Entschärfung bedarf.

    Träge Masse

    Dank der Trägheit der großen Masse der Computeranwender gibt es zu diesem Szenario wenig Alternativen. Genausowenig wie sich die Masse darum schert, welches Betriebssystem auf dem PC läuft, kümmert sie sich darum, wie sehr der Hersteller der CPU sie kontrollieren kann. AMD ist kein Ausweg und ist quasi durch Marktmacht gezwungen, diesen Weg mitzugehen.

    Kaum Alternativen zu Intel x86

    Alternative Plattformen wie ARM am Desktop existieren quasi nicht, Systeme, die dem Anwender die Kontrolle geben, sind in Preislagen angesiedelt, die sie für den Massenmarkt ungeeignet machen. Dazu gehören etwa Hersteller wie Raptor mit seinen Talos-Mainboards. Hier kommen Power9-CPUs zum Einsatz, die Preise für eine Workstation beginnen bei rund 3.000 Euro. Bleibt eigentlich nur, auf offene Plattformen wie RISC-V zu hoffen, die aber vom Erreichen des Massenmarkts noch viele Jahre entfernt sind. Keine rosigen Aussichten, oder?

  • Weiterer Fehler in Intels AMT gefährdet Notebooks

    Intel AMT
    Bild: „Intel“ von Christian Rasmussen Lizenz: CC By-SA 2.0

     

    Das Jahr fing schlimm an für Intel. Und so geht es auch weiter. Nicht nur die Hardware, auch die Software scheint erneut mit heißer Nadel gestrickt zu sein. Finnische Sicherheitsforscher der Firma F-Secure beschreiben einen weiteren Fehler in Intels Active Management Technology (AMT), einem Bestandteil der mit reichlich negativen Schlagzeilen behafteten Intel Managment Engine.

    AMT wird in praktisch allen Desktops, Servern und Tablets, welche auf Intel vPro basieren, eingesetzt. Unter anderem sind dies die Intel-Core-i-Serien i3, i5, i7 und die Intel Xeon Prozessorfamilien. Unter Linux lässt sich recht einfach feststellen, ob AMT an Bord ist. Der Befehl lspci listet dann eine Zeile zu einem Communication Controller, die entweder die Kürzel HECI oder MEI enthält.

    Noch eine Lücke in Intels ME

    Zu den bereits bekannten Sicherheitsmängeln in Intels Active Management Technology (AMT) kommt nun eine weitere Lücke hinzu, die es Angreifern erlaubt, Anmeldeinformationen auf Firmen-Laptops zu umgehen. Wie F-Secure berichtet, erlauben unsichere Standardeinstellungen in Intel AMT es einem Eindringling, Benutzer- und BIOS-Passwörter sowie TPM- und Bitlocker-PINs vollständig zu umgehen und in 30 Sekunden in fast jeden Firmen-Laptop einzubrechen, wenn physischer Zugriff auf das Gerät besteht. Der neueste Fehler erhält seine Brisanz wegen der einfachen Ausnutzung. »Die Schwachstelle kann in Sekundenschnelle ohne eine einzige Codezeile ausgenutzt werden«  berichteten die Entdecker bei F-Secure.

    BIOS-Passwort verhindert den Angriff nicht

    Das Setzen eines BIOS-Passworts, das normalerweise verhindert, dass ein unbefugter Benutzer das Gerät hochfährt oder Änderungen an ihm vornimmt, verhindert laut F-Secure nicht den Zugriff auf die AMT-BIOS-Erweiterung. Dies ermöglicht einem Angreifer Zugriff auf die Konfiguration von AMT und ermöglicht unter Umständen die Fernausnutzung. Um die Lücke auszunutzen muss ein Angreifer lediglich den Zielcomputer einschalten und während des Bootvorgangs die Tastenkombination STRG+P drücken. Der Angreifer kann sich dann mit dem Standardpasswort admin in die Intel Management Engine BIOS Extension (MEBx) einloggen, sofern hier kein neues Passwort gesetzt wurde. Im BIOS findet sich unter Security oder Config eine Option, AMT anzuschalten.

    Laut F-Secure steht es dem Angreifer dann frei, das Standardkennwort zu ändern, den Fernzugriff zu aktivieren und das Benutzer-Opt-In von AMT auf None zu setzen.  Harry Sintonen, Senior Security Consultant bei F-Secure, schreibt der Lücke ein hohes zerstörerisches Potential zu, wenn er sagt: »In der Praxis kann es einem Angreifer die vollständige Kontrolle über den Arbeitslaptop eines Einzelnen geben, trotz der umfangreichsten Sicherheitsmaßnahmen.«

    Mit VPN-Support doppelt brisant

    Der Angriff fällt wegen der sehr kurzen Zeit, die er zur Ausführung braucht in die Kategorie »evil maid attacks«. Notebooks in Hotelzimmern, alleingelassene Laptops im Büro sind für solche Angriffe anfällig. Potenziert wird das Problem bei neueren CPUs, die per AMT über VPN-Support verfügen. Hier steht dem Angreifer schnell das Firmennetzwerk offen.

    Auch die Gerätehersteller in der Pflicht

    Das Problem wird dadurch befördert, dass viele Gerätehersteller nicht in Einklang mit Intels nach den letzten Lücken im November 2017 nochmals überarbeiteten Anleitung (PDF) vorgehen und das Passwort bereits vor der Auslieferung ändern oder AMT standardmäßig deaktivieren. Den meisten Anwendern entgeht bisher die Problematik, selbst in vielen Unternehmen nehmen die Administratoren hier keine Änderungen vor. Sintonen rät, die AMT völlig abzuschalten, falls diese Option im BIOS angeboten wird. Auf jeden Fall sollte sie mit einem sicheren Passwort versehen werden. Obwohl Privatanwender hier nicht völlig außen vor sind, wird diese Lücke vermutlich eher in Unternehmen und Organisationen ausgenutzt.

  • System 76 schaltet Intel ME ab

    System76 ohne ME
    Bild: „Intel“ von Kazuhisa Otsubo Lizenz: CC BY 2.0

    Der US-amerikanische Hersteller System76, der auf Linux-Notebooks und PCs spezialisiert ist, gab bekannt, Intels umstrittene proprietäre Management Engine (ME) in den von ihnen vertriebenen Geräten abschalten zu wollen. Dazu will der Hersteller demnächst automatisiert eine Firmware anbieten, die die ME abschaltet. Möglich wurde das, nachdem Forscher von Positive Technologies eine undokumentierte High Assurance Platform (HAP)-Einstellung in der Intel ME-Firmware entdeckt hatten. HAP wurde von der NSA für Secure Computing entwickelt. Das Setzen des Bits „reserve_hap“ auf 1 deaktiviert laut System 76 die ME. Damit ist System 76 der zweite Hersteller von Linux-Notebooks, die ihre Notebooks mit abgeschalteter ME ausliefern. Bereits im Oktober hatte der Linux-Notebook-Hersteller Purism, der auch das freie Smartphone Librem 5 entwickelt, die Abschaltung der ME für seine Notebooks angekündigt.

    System76 ohne ME

    Im Juli dieses Jahres begann bei System 76 ein Projekt zur automatischen Bereitstellung von Firmware für ihre Laptops, ähnlich der Art und Weise, wie Software derzeit über das Betriebssystem ausgeliefert wird. Das Werkzeug zur Auslieferung der Firmware ist Open Source und wird auf GitHub entwickelt. Nach Intels Ankündigung der Sicherheitslücken in der ME vom 20. November fiel die Entscheidung, automatisch aktualisierte Firmware mit deaktivierter ME auf betroffene Laptops mit Intels letzten drei Chip-Generationen 6, 7 und 8 anzubieten. Die ME bietet keine Funktionalität für System76 Laptop-Kunden und ist sicher zu deaktivieren.

    Künftig möglichst auch für andere Notebooks

    Der Rollout erfolgt im Laufe der Zeit und die Kunden werden vor der Auslieferung per E-Mail benachrichtigt. Sie müssen Ubuntu 16.04 LTS, Ubuntu 17.04, Ubuntu 17.10, Pop!_OS 17.10 oder ein Ubuntu-Derivat sowie den System76-Treiber installiert haben, um die neueste Firmware mit deaktivierter ME zu erhalten. System76 will zudem untersuchen, wie man ein distro-agnostisches Kommandozeilen-Firmware-Installations-Tool erstellen kann, damit auch andere Notebooks davon profitieren können. Auch für PCs von System 76 wird zeitnah eine entsprechende Firmware bereitgestellt.

    System 76 ohne ME
    Minnich im Vortrag: Habt ihr schon Angst? Wir schon!

     

    Googles Coreboot-Entwickler Ronald Minnich und sein Team gehen mit ihren Nachforschungen darüber weit hinaus. Er möchte Intel ME und UEFI für Googles Server ersetzen. Dazu wurde das Projekt NERF aufgelegt, was für Non-Extensible Reduced Firmware steht. Darunter stellt sich Minnich eine ME-ROM auf der Basis von Open Source sowie eine UEFI-Implementation vor, die reduziert auf die unbedingt notwendigen Teile beschränkt wird. Da dies laut Minnich ein weiter Weg ist, sollen zunächst die Reichweite und die Möglichkeiten von Intels ME und UEFI eingeschränkt werden.

     

     

  • In der Intel Management Engine läuft Minix

    In der Intel Management Engine läuft Minix

    Jeder moderne Intel-Prozessor bringt eine Management Engine (IME) mit, die beim Booten, zur Laufzeit und im Schlafmodus aktiv ist. Da IME über die permanente 5-V-Versorgung aus dem Netzteil gespeist wird, muss der Rechner nicht einmal eingeschaltet sein. Sie besteht aus einem Microcontroller und einer passenden proprietären Firmware, die sich je nach CPU und OEM unterscheiden kann. Die Firmware ist eine von Intel kryptografisch signierte Binärdatei. ME ist von Intel nicht durchgängig dokumentiert. Somit führt die CPU im Rahmen der ME unbekannten und nicht nachprüfbaren Code aus, auf die der Käufer von Intels CPUs keinerlei Einfluss hat. Betroffen sind die Intel-Core-i-Serien i3, i5, i7 und die Intel Xeon Prozessorfamilien.

    Sicherheitstechnisch bedenklich

    In frühen Versionen saß der Microcontroller im Netzwerkchip, dann in der Northbridge des Chipsatzes, um bei Intels i7-Architektur Teil der CPU zu werden. Der Controller der ME ist dabei völlig unabhängig von der CPU und stellt einen Computer im Computer dar. Die ME hat ihr eigenes Betriebssystem und verfügt über Flashspeicher, einen internen Bus, einen Web-Server und eine Kryptographie-Engine. ME hat Zugriff auf den Hauptspeicher des Systems und über den Intel Gigabit Ethernet Controller auch auf das Netzwerk. Die FSF bemängelt, dass Anwender keinerlei Kontrolle über die Management Engine haben. Wäre dies, wie bei freier Software der Fall, wäre sie ein mächtiges Subsystem, das zur Sicherheit und Administration des Systems beitragen könnte.

    Soviel war bereits seit längerem bekannt. Bekannt war auch, dass IME ein großes Sicherheitsrisiko darstellt. Nicht nur die Free Software Foundation (FSF) hat sich gegen dieses zusätzliche proprietäre Sub-Betriebssystem gewandt, sondern auch die Electronic Frontier Foundation (EFF) und Sicherheitsexperten wie Matthew Garrett. Erst im Mai hatte Intel eine seit neun Jahren bestehende kritische Sicherheitslücke in seiner Active Management Technology (AMT), einer der Komponenten der IME, bekannt gegeben. Da das Schließen dieser Lücke eines Firmware-Updates bedarf, werden viele PCs, bei denen AMT aktiv ist, vermutlich nie einen Fix sehen. Ob AMT passiv oder aktiv eingeschaltet oder aus ist, hängt vom BIOS des jeweiligen Rechners ab.

    Minix entdeckt

    In letzter Zeit beschäftigte sich ein Team von Google-Sicherheitsexperten mit der IME. Dabei entdeckten sie zu ihrem Erstaunen, dass das versteckte Betriebssystem, das die ME steuert, auf den Namen Minix hört. Dabei handelt es sich um ein frühes unixoides Betriebssystem, das von Andrew S. Tanenbaum 1987 zu Lehrzwecken entwickelt wurde. Seine größte Bedeutung heute ist vermutlich, dass es Linus Torvalds zur Entwicklung von Linux inspirierte.  Dank Googles Ronald Minnich wissen wir nun, dass Minix dank Intel das am weitesten verbreitete Unix und möglicherweise sogar das am weitesten »benutzte« Betriebssystem überhaupt ist.

    Das enthüllte Minnich vor zwei Wochen auf einem Vortrag auf der Embedded Linux Conference Europe in Prag. Dabei handelt es sich um eine proprietäre Variante von Minix 3. Welche Änderungen hier vorgenommen wurden ist dank des Closed-Source-Status bisher nicht bekannt. Das System hat Zugriff auf die TCP/IP-Netzwerk-Schicht, das Dateisystem, auf Treiber und Web-Server. Es kann zudem die Firmware des Rechners selbst im ausgeschalteten Zustand ändern. Auch kann es selbst-modifizierenden Code einfügen, der selbst in einem stromlosen Rechner erhalten bleibt.

    Auf unterster Ebene

    Das IME erlangt diesen Zugriff dadurch, dass es im x86-Ring-Modell im niedrigsten Ring -3 läuft und somit noch eine Ebene unter UEFI angesiedelt ist. Um hier mehr Sicherheit zu ermöglichen ruft Minnich Intel dazu auf, anstelle seines proprietären Minix-Derivats ein offenes Linux-System einzusetzen. Im Besonderen sollten zudem der Web-Server und der IP-Stack aus der ME verschwinden. Auch AMD ist keine sichere Bank in dieser Hinsicht. Die neuen Ryzen-Chips enthalten mit dem AMD Platform Security Process ebenfalls »ein schwarzes Loch«. Minnich machte eindrücklich klar, dass er es Ernst meint, wenn er sagte: »Wenn ihr jetzt noch keine Angst habt, dann hab ich das schlecht erklärt. Ich jedenfalls habe Angst.«

    Erst kürzlich konnten die Entwickler bei Purism, die auch das freie Smartphone Librem 5 entwickeln, vermelden, dass es ihnen gelungen sei, die IME völlig zu deaktivieren. Wie im hauseigenen Blog nachzulesen ist, hat es Jahre gedauert, bis eine vollständige Lösung gefunden war,  die den Start des Systems auf den Notebooks Librem 13 und Librem 15 ohne aktivierte Management Engine erlaubt.

    Inzwischen hat sich Andew Tanenbaum, völlig unreflektiert die Tatsache ignorierend, das Minix als Backdoor eingesetzt wird, bei Intel für die Verwendung von Minix bedankt.

     

    Bild: Hacker by The Preiser Project | Flickr | License: CC-BY 2.0