Schwerwiegende Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren

21. November 2017

Beschreibung

Wie Intel meldet (INTEL-SA-00086), gibt es aktuell mehrere Schwachstellen in Systemen mit folgenden Features von Intel Prozessoren:

• Intel Management Engine (ME)
• Intel Trusted Execution Engine (TXE)
• Intel Server Platform Services (SPS)

Grob gesagt sind also praktisch alle Systeme mit aktuellen Intel-Prozessoren betroffen (Details unten).

Details

Je nach genauer Schwachstelle können Angreifer durch lokalen (physischen) Zugriff oder Ausführung von unautorisierten Programmen beliebigen Code auf betroffenen Maschinen ausführen.

CVE-Nummern dazu: CVE-2017-5705, CVE-2017-5706, CVE-2017-5707, CVE-2017-5708, CVE-2017-5709, CVE-2017-5710, CVE-2017-5711, CVE-2017-5712
CVSSv3 Scores bis 8,2.

Auswirkungen

Ein Angreifer hat potentiell vollen Zugriff auf ein betroffenes System, daher sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Da die Kompromittierung nicht auf Betriebssystem-Ebene, sondern "darunter" stattfindet, gibt es seitens des Betriebssystems auch kaum bis keine Möglichkeiten dies zu verhindern bzw. zu entdecken.
Eine Kompromittierung, die auch System-Neustarts übersteht, ist ebenso denkbar.

Betroffene Systeme

Systeme mit folgenden Prozessoren:

• Intel "Core" Prozessoren der 6., 7. und 8. Generation
• Intel "Xeon" Prozessoren E3-1200 v5 und v6
• Intel "Xeon" Prozessoren der "Scalable" Familie
• Intel "Xeon" Prozessoren der "W" Familie
• Intel "Atom" C3000 Prozessoren
• "Apollo Lake" Intel Atom Prozessoren der E3900 Serie
• "Apollo Lake" Intel Pentium
• Celeron Prozessoren der N und J Serien

Abhilfe

Leider gibt es hier keine direkte Abhilfe seitens Intel, entsprechende Updates müssen von den System-/Mainboard-Herstellern zur Verfügung gestellt werden.

Intel stellt jedoch ein Tool (für Microsoft Windows und Linux) bereit, mit dem sich feststellen lässt, ob ein System verwundbar ist:
http://www.intel.com/sa-00086-support

Wir empfehlen bei verwundbaren Systemen mit dem Hersteller Kontakt aufzunehmen, um entsprechende Updates zu erhalten.
Folgende Hersteller haben bereits Updates zur Verfügung gestellt, bzw. bieten entsprechende Informationen an:

• Fujitsu: http://support.ts.fujitsu.com/content/intel_firmware_SA86.asp
• Lenovo: https://support.lenovo.com/at/en/product_security/len-17297

Da sich manche der Lücken durch physischen Zugriff (etwa Anstecken eines präparierten USB-Sticks) ausnutzen lassen, empfehlen wir weiters, ungepatchte Geräte entsprechend durch klassische Massnahmen zu sichern, zB:

• Notebooks nicht unbeaufsichtigt lassen (etwa in Hotelzimmern oder bei Veranstaltungen)
• öffentlich zugängliche Systeme (Empfangsbereiche, Kioske usw.) Hardware-seitig sichern

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.

---

Informationsquelle(n):

Security Advisory SA-00086 von Intel (englisch)
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
Artikel dazu bei Heise Security
https://heise.de/-3895175
Artikel dazu bei derstandard.at
http://derstandard.at/2000068197447/Schwerer-Fehler-macht-fast-alle-aktuellen-PCs-mit-Intel-CPU