Kritisches Firmware-Update für Intel® Management Engine (Intel-SA-00086)

Dokumentation

Fehlerbehebung

000025619

16.08.2018

Schachstelle in Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) und Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

Hinweis Dieser Artikel beschreibt Probleme im Zusammenhang mit Sicherheitsschwachstellen, die in der Intel® Management Engine-Firmware auftreten können. Dieser Artikel enthält keine Informationen bezüglich Seitenkanal-Schachstellen des Prozessors (auch als Meltdown/Spectre bekannt). Informationen zum Meltdown/Spectre-Problem finden Sie auf der Seite Side-Channel Analysis Facts and Intel® Products.

Als Reaktion auf Probleme, die von externen Forscher identifiziert wurden, hat Intel eine umfassende Sicherheitsüberprüfung der folgenden Produkte durchgeführt, mit dem Ziel, die Ausfallsicherheit der Firmware zu stärken.

  • Intel® Management Engine
  • Intel® Trusted Execution Engine
  • Intel® Server Platform Services (SPS)

Intel hat Sicherheitsschwachstellen identifiziert, die sich potenziell auf bestimmte PCs, Server und IoT-Plattformen auswirken könnten.

Betroffen sind Systeme, die die Intel ME Firmware-Versionen 6.x-11.x verwenden, Server mit SPS Firmware-Version 4.0, und Systeme mit TXE-Version 3.0. Diese Firmware-Versionen sind auf bestimmten Prozessoren aus den folgenden Reihen zu finden:

  • Intel® Core™ Prozessoren der 1., 2., 3., 4., 5., 6., 7. und 8. Generation
  • Intel® Xeon® E3-1200 v5 und v6 Prozessoren
  • Intel® Xeon® skalierbare Prozessoren
  • Intel® Xeon® W Prozessor
  • Intel Atom® C3000 Prozessoren
  • Apollo Lake Intel Atom® E3900 Prozessoren
  • Apollo Lake Intel® Pentium® Prozessoren
  • Intel® Pentium® Prozessoren der Produktreihe G
  • Intel® Celeron® Prozessoren der Produktreihen G, N und J

Um herauszufinden, ob die identifizierten Schwachstellen sich auf Ihr System auswirken, laden Sie über die unten stehenden Links das Intel-SA-00086-Erkennungstool herunter.

Abschnitt mit Häufig gestellten Fragen

Verfügbare Ressourcen

Ressourcen für Microsoft und Linux* Nutzer

Hinweis Version des INTEL-SA-00086 Erkennungstools, die älter als Version 1.0.0.146 sind, sind nicht von CVE-2017-5711 und CVE-2017-5712 betroffen. Diese CVEs (Common Vulnerabilities and Exposures, Häufige Sicherheitsrisiken und -schwachstellen) wirken sich nur auf Systeme mit Intel® Active-Management-Technologie (Intel® AMT) Version 8.x-10.x aus. Benutzer von Systemen mit Intel AMT 8.x-10.x sollten Version 1.0.0.146 oder neuer installieren. Die Installation dieser Version trägt dazu bei, den Status des Systems in Bezug auf die Sicherheitsempfehlung INTEL-SA-00086 zu überprüfen. Sie können die Version des INTEL-SA-0008 Erkennungsprogramms überprüfen, indem Sie das Tool ausführen und im Output-Fenster nach den Versionsinformationen suchen.

Ressourcen von System-/Mainboard-Herstellern

Hinweis Links für andere System-Mainboard-Hersteller werden bereitgestellt, sobald diese verfügbar sind. Wenn der Hersteller Ihres Systems nicht aufgelistet ist, wenden Sie sich direkt an den Hersteller, um Informationen zur Verfügbarkeit des benötigten Software-Updates zu erhalten.


Häufig gestellte Fragen:

F: Das Intel-SA-00086 Erkennungstool zeigt an, dass mein System anfällig ist. Wie kann ich weiter vorgehen?
A:
Intel hat System- und Mainboard-Herstellern die erforderlichen Firmware- und Software-Updates zur Verfügung gestellt, um die in der Sicherheitsempfehlung Intel-SA-00086 identifizierten Schwachstellen zu beheben.

Wenden Sie sich an Ihren System- oder Mainboard-Hersteller bezüglich dessen Pläne, die Updates den Endanwendern zur Verfügung stellen.

Einige Hersteller haben Intel einen direkten Link bereitgestellt, über den ihre Kunden weitere Informationen und verfügbare Software Updates erhalten können (siehe Liste unten).

F: Warum muss ich mich an meinen System- oder Mainboard-Hersteller wenden? Warum stellt nicht Intel das notwendige Update für mein System zur Verfügung stellen?
A:
Intel kann aufgrund von Management Engine-Firmware-Anpassungen, die von den System- und Mainboard-Herstellern vorgenommen werden, kein allgemeines Update bereitstellen .

F: Das Intel-SA-00086-Erkennungstool gibt may be Vulnerable (möglicherweise anfällig) für mein System an. Wie kann ich weiter vorgehen?
A:
Der Status möglicherweise anfällig wird normalerweise angezeigt, wenn einer der folgenden Treiber nicht installiert ist:

  • Treiber für die Intel® Management Engine-Schnittstelle (Intel® MEI) 
oder
  • Treiber für die Intel® Trusted Execution Engine-Schnittstelle (Intel® TXEI)
Wenden Sie sich an Ihrem System- oder Mainboard-Hersteller, um die richtigen Treiber für Ihr System zu erhalten.

F: Mein System- oder Mainboard-Hersteller wird nicht in der Liste aufgeführt. Wie kann ich weiter vorgehen?
A:
Die unten stehende Liste enthält Links von System- oder Mainboard-Herstellern, die Intel entsprechende Informationen zur Verfügung gestellt haben. Wenn Ihr Hersteller nicht aufgeführt ist, wenden Sie sich über die standardmäßigen Support-Mechanismen (Website, Telefon, E-Mail usw.) an den Hersteller, um Unterstützung zu erhalten.

F: Welche Art von Zugriff benötigt ein Angreifer, um die identifizierten Schwachstellen auszunutzen?
A:
Wenn der Gerätehersteller den von Intel empfohlenen Flash-Beschreibungen-Schreibschutz aktiviert, benötigt ein Angreifer physischen Zugang auf den Firmware-Flash der Plattform, um die Schwachstellen auszunutzen, die identifiziert wurden in:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
Der Angreifer erhält physischen Zugriff, indem er die Plattform manuell mit einem bösartigen Firmware-Image über einen Flash-Programmierer, der physisch mit dem Flash-Speicher der Plattform verbunden ist, aktualisiert. Der Flash-Beschreibungen-Schreibschutz ist eine Plattform-Einstellung, die in der Regel am Ende der Fertigung gesetzt ist. Der Flash-Beschreibungen-Schreibschutz schützt Einstellungen auf dem Flash-Speicher vor mit böswilliger Absicht vorgenommenen oder versehentlichen Änderungen nach Abschluss der Fertigung.

Wenn der Gerätehersteller den von Intel empfohlenen Flash-Beschreibungen-Schreibschutz nicht aktiviert, benötigt ein Angreifer Zugriff auf den Betriebssystem-Kernel (logischer Zugriff, Betriebssystem-Ring 0). Der Angreifer benötigt diesen Zugriff, um die identifizierten Schwachstellen ausnutzen, indem er ein bösartiges Firmware-Image über einen bösartigen Plattformtreiber auf die Plattform anwendet.

Die in CVE-2017-5712 identifizierte Schwachstelle ist per Fernzugriff über das Netzwerk in Verbindung mit gültigen Anmeldeinformationen für die Intel® Management Engine ausnutzbar. Die Schwachstelle ist nicht ausnutzbar, wenn keine gültigen Anmeldeinformationen verfügbar sind.

Wenn Sie weitere Hilfe benötigen, wenden Sie sich an den Intel Kundensupport, um einen Online-Serviceantrag einzureichen.