Intel® Management Engine kritisches Firmware-Update (Intel-SA-00086)
Inhaltstyp: Fehlerbehebung | Artikel-ID: 000025619 | Letzte Überprüfung: 13.08.2024
Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) und Intel® Server Platform Services (Intel® SPS 4.0) Schwachstelle (Intel-SA-00086)
| Anmerkung | In diesem Artikel werden Probleme im Zusammenhang mit Sicherheitsschwachstellen in den Intel® Management Engine Firmware beschrieben. Dieser Artikel enthält keine Informationen bezüglich Seitenkanal-Schachstellen des Prozessors (auch als Meltdown/Spectre bekannt). Informationen zum Meltdown/Spectre-Problem finden Sie auf der Seite Side-Channel Analysis Facts and Intel® Products. |
Als Reaktion auf Probleme, die von externen Forschern identifiziert wurden, hat Intel eine eingehende umfassende Sicherheitsüberprüfung der folgenden Punkte durchgeführt, um die Widerstandsfähigkeit der Firmware zu verbessern:
Intel hat Sicherheitslücken identifiziert, die sich potenziell auf bestimmte PCs, Server und IoT-Plattformen auswirken können.
Betroffen sind Systeme, die die Intel ME Firmware-Versionen 6.x-11.x verwenden, Server mit SPS Firmware-Version 4.0, und Systeme mit TXE-Version 3.0. Diese Firmware-Versionen sind auf bestimmten Prozessoren aus den folgenden Reihen zu finden:
Um festzustellen, ob die identifizierten Schwachstellen sich auf Ihr System auswirken, laden Sie über die unten stehenden Links das Tool zur Intel CSME Versionserkennung herunter.
Abschnitt mit Häufig gestellten Fragen
Verfügbare Ressourcen
Ressourcen für Microsoft und Linux* Nutzer
Ressourcen von System-/Mainboard-Herstellern
| Anmerkung | Links zu anderen System-/Mainboard-Herstellern werden bereitgestellt, sobald diese verfügbar sind. Falls Ihr Hersteller nicht aufgeführt ist, wenden Sie sich an den Hersteller, um Informationen zur Verfügbarkeit des erforderlichen Softwareupdates zu erhalten. |
F: Das Intel CSME Version Detection Tool meldet, dass mein System anfällig ist. Was soll ich tun?
Antwort: Intel hat System- und Mainboard-Herstellern die notwendigen Firmware- und Software-Updates zur Verfügung gestellt, um die in der Sicherheitsempfehlung Intel-SA-00086 identifizierten Schwachstellen zu beheben.
Wenden Sie sich an Ihren System- oder Mainboard-Hersteller bezüglich dessen Pläne, die Updates den Endbenutzern zur Verfügung stellen.
Einige Hersteller haben Intel einen direkten Link bereitgestellt, über den ihre Kunden weitere Informationen und verfügbare Software-Updates erhalten können (siehe Liste unten).
F: Warum muss ich mich an meinen System- oder Mainboard-Hersteller wenden? Warum stellt Intel nicht das notwendige Update für mein System zur Verfügung stellen?
Antwort: Aufgrund von Anpassungen der Management-Engine-Firmware durch System- und Mainboard-Hersteller ist Intel nicht in der Lage, ein allgemeines Update bereitzustellen.
F: Mein System wird vom Intel CSME Tool zur Versionserkennung als möglicherweise anfällig klassifiziert. Was soll ich tun?
A: Der Status "Möglicherweise anfällig" wird normalerweise angezeigt, wenn einer der folgenden Treiber nicht installiert ist:
Wenden Sie sich an den Hersteller Ihres Systems oder Mainboards, um die richtigen Treiber für Ihr System zu erhalten.
F: Mein System- oder Mainboard-Hersteller wird nicht in der Liste aufgeführt. Was soll ich tun?
Antwort: Die folgende Liste enthält Links von System- oder Mainboard-Herstellern, die Intel Informationen zur Verfügung gestellt haben. Wenn Ihr Hersteller nicht aufgeführt ist, wenden Sie sich über die standardmäßigen Support-Mechanismen (Website, Telefon, E-Mail usw.) an den Hersteller, um Unterstützung zu erhalten.
F: Welche Art von Zugriff benötigt ein Angreifer, um die identifizierten Schwachstellen auszunutzen?
Antwort: Wenn der Gerätehersteller den von Intel empfohlenen Flash-Beschreibungen-Schreibschutz aktiviert, benötigt ein Angreifer physischen Zugriff auf den Firmware-Flash der Plattform, um die in folgenden Punkten identifizierten Schwachstellen auszunutzen:
Ende der Fertigung
Der Angreifer erhält physischen Zugriff, indem er die Plattform manuell mit einem bösartigen Firmware-Image über einen Flash-Programmierer, der physisch mit dem Flash-Speicher der Plattform verbunden ist, aktualisiert. Der Flash-Beschreibungen-Schreibschutz ist eine Plattform-Einstellung, die in der Regel am Ende der Fertigung gesetzt ist. Der Flash-Beschreibungen-Schreibschutz schützt Einstellungen auf dem Flash-Speicher vor böswilligen oder versehentlichen Änderungen nach Abschluss der Fertigung.
Wenn der Gerätehersteller den von Intel empfohlenen Flash-Beschreibungen-Schreibschutz nicht aktiviert, benötigt ein Angreifer Zugriff auf den Betriebssystem-Kernel (logischer Zugriff, Betriebssystem-Ring 0). Der Angreifer benötigt diesen Zugriff, um die identifizierten Schwachstellen ausnutzen, indem er ein bösartiges Firmware-Image über einen bösartigen Plattformtreiber auf die Plattform anwendet.
Die in CVE-2017-5712 identifizierte Sicherheitsanfälligkeit kann per Fernzugriff über das Netzwerk in Verbindung mit gültigen Anmeldeinformationen Intel® Management Engine für Administratoren ausgenutzt werden. Die Schwachstelle ist nicht ausnutzbar, wenn keine gültigen Anmeldeinformationen verfügbar sind.
Wenn Sie weitere Hilfe benötigen, wenden Sie sich an Intel Customer Support , um eine Online-Serviceanfrage einzureichen.