Intel® Management Engine kritisches Firmware-Update (Intel-SA-00086)
Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) und Intel® Server Platform Services (Intel® SPS 4.0) Schwachstelle (Intel-SA-00086)
Anmerkung | In diesem Artikel werden Probleme im Zusammenhang mit Sicherheitsschwachstellen in den Intel® Management Engine Firmware beschrieben. Dieser Artikel enthält keine Informationen bezüglich Seitenkanal-Schachstellen des Prozessors (auch als Meltdown/Spectre bekannt). Informationen zum Meltdown/Spectre-Problem finden Sie auf der Seite Side-Channel Analysis Facts and Intel® Products. |
Als Reaktion auf Probleme, die von externen Forschern identifiziert wurden, hat Intel eine eingehende umfassende Sicherheitsüberprüfung der folgenden Punkte durchgeführt, um die Widerstandsfähigkeit der Firmware zu verbessern:
- Intel® Management Engine (Intel® ME)
- Intel® Trusted Execution Engine (Intel® TXE)
- Intel® Server Platform Services (SPS)
Intel hat Sicherheitslücken identifiziert, die sich potenziell auf bestimmte PCs, Server und IoT-Plattformen auswirken können.
Betroffen sind Systeme, die die Intel ME Firmware-Versionen 6.x-11.x verwenden, Server mit SPS Firmware-Version 4.0, und Systeme mit TXE-Version 3.0. Diese Firmware-Versionen sind auf bestimmten Prozessoren aus den folgenden Reihen zu finden:
- Intel® Core™ Prozessorfamilien der 1., 2., 3., 4., 5., 6., 7. und 8. Generation
- Intel® Xeon® E3-1200 v5 und v6 Prozessoren
- Skalierbare Intel® Xeon®-Prozessorreihe
- Intel® Xeon® W Prozessor
- Intel Atom® C3000 Prozessorreihe
- Apollo Lake Intel Atom® E3900 Prozessoren
- Apollo Lake Intel® Pentium® Prozessoren
- Intel® Pentium® Prozessoren der G-Reihe
- Intel® Celeron® Prozessoren der Produktreihen G, N und J
Um festzustellen, ob die identifizierten Schwachstellen sich auf Ihr System auswirken, laden Sie über die unten stehenden Links das Tool zur Intel CSME Versionserkennung herunter.
Abschnitt mit Häufig gestellten Fragen
Verfügbare Ressourcen
- Offizielle Sicherheitsempfehlung von Intel: Technische Details zur Schwachstelle
Ressourcen für Microsoft und Linux* Nutzer
Ressourcen von System-/Mainboard-Herstellern
Anmerkung | Links zu anderen System-/Mainboard-Herstellern werden bereitgestellt, sobald diese verfügbar sind. Falls Ihr Hersteller nicht aufgeführt ist, wenden Sie sich an den Hersteller, um Informationen zur Verfügbarkeit des erforderlichen Softwareupdates zu erhalten. |
- ASRock: Support-Informationen
- ASUS: Support-Informationen
- Compulab: Support-Informationen
- Dell Client: Support-Informationen
- Dell Server: Support-Informationen
- Fujitsu: Support-Informationen
- GIGABYTE: Support-Informationen
- HPE Server: Support-Informationen
- Intel® NUC und Intel® Compute Stick: Support-Informationen
- Intel® Server: Support-Informationen
- Lenovo: Support-Informationen
- Microsoft Surface*: Support-Informationen
- NEC: Support-Informationen
- Oracle: Support-Informationen
- Panasonic: Support-Informationen
- Quanta/QCT: Support-Informationen
- Siemens: Support-Informationen
- Supermicro: Support-Informationen
- Toshiba: Support-Informationen
- VAIO: Support-Informationen
F: Das Intel CSME Version Detection Tool meldet, dass mein System anfällig ist. Was soll ich tun?
Antwort: Intel hat System- und Mainboard-Herstellern die notwendigen Firmware- und Software-Updates zur Verfügung gestellt, um die in der Sicherheitsempfehlung Intel-SA-00086 identifizierten Schwachstellen zu beheben.
Wenden Sie sich an Ihren System- oder Mainboard-Hersteller bezüglich dessen Pläne, die Updates den Endbenutzern zur Verfügung stellen.
Einige Hersteller haben Intel einen direkten Link bereitgestellt, über den ihre Kunden weitere Informationen und verfügbare Software-Updates erhalten können (siehe Liste unten).
F: Warum muss ich mich an meinen System- oder Mainboard-Hersteller wenden? Warum stellt Intel nicht das notwendige Update für mein System zur Verfügung stellen?
Antwort: Aufgrund von Anpassungen der Management-Engine-Firmware durch System- und Mainboard-Hersteller ist Intel nicht in der Lage, ein allgemeines Update bereitzustellen.
F: Mein System wird vom Intel CSME Tool zur Versionserkennung als möglicherweise anfällig klassifiziert. Was soll ich tun?
A: Der Status "Möglicherweise anfällig" wird normalerweise angezeigt, wenn einer der folgenden Treiber nicht installiert ist:
- Schnittstelle für Intel® Management Engine (Intel® MEI) Treiber
- Intel® Trusted Execution Engine Interface (Intel® TXEI) Treiber
Wenden Sie sich an den Hersteller Ihres Systems oder Mainboards, um die richtigen Treiber für Ihr System zu erhalten.
F: Mein System- oder Mainboard-Hersteller wird nicht in der Liste aufgeführt. Was soll ich tun?
Antwort: Die folgende Liste enthält Links von System- oder Mainboard-Herstellern, die Intel Informationen zur Verfügung gestellt haben. Wenn Ihr Hersteller nicht aufgeführt ist, wenden Sie sich über die standardmäßigen Support-Mechanismen (Website, Telefon, E-Mail usw.) an den Hersteller, um Unterstützung zu erhalten.
F: Welche Art von Zugriff benötigt ein Angreifer, um die identifizierten Schwachstellen auszunutzen?
Antwort: Wenn der Gerätehersteller den von Intel empfohlenen Flash-Beschreibungen-Schreibschutz aktiviert, benötigt ein Angreifer physischen Zugriff auf den Firmware-Flash der Plattform, um die in folgenden Punkten identifizierten Schwachstellen auszunutzen:
- CVE-2017-5705
- CVE-2017-5706
- CVE-2017-5707
- CVE-2017-5708
- CVE-2017-5709
- CVE-2017-5710
- CVE-2017-5711
Ende der Fertigung
Der Angreifer erhält physischen Zugriff, indem er die Plattform manuell mit einem bösartigen Firmware-Image über einen Flash-Programmierer, der physisch mit dem Flash-Speicher der Plattform verbunden ist, aktualisiert. Der Flash-Beschreibungen-Schreibschutz ist eine Plattform-Einstellung, die in der Regel am Ende der Fertigung gesetzt ist. Der Flash-Beschreibungen-Schreibschutz schützt Einstellungen auf dem Flash-Speicher vor böswilligen oder versehentlichen Änderungen nach Abschluss der Fertigung.
Wenn der Gerätehersteller den von Intel empfohlenen Flash-Beschreibungen-Schreibschutz nicht aktiviert, benötigt ein Angreifer Zugriff auf den Betriebssystem-Kernel (logischer Zugriff, Betriebssystem-Ring 0). Der Angreifer benötigt diesen Zugriff, um die identifizierten Schwachstellen ausnutzen, indem er ein bösartiges Firmware-Image über einen bösartigen Plattformtreiber auf die Plattform anwendet.
Die in CVE-2017-5712 identifizierte Sicherheitsanfälligkeit kann per Fernzugriff über das Netzwerk in Verbindung mit gültigen Anmeldeinformationen Intel® Management Engine für Administratoren ausgenutzt werden. Die Schwachstelle ist nicht ausnutzbar, wenn keine gültigen Anmeldeinformationen verfügbar sind.
Wenn Sie weitere Hilfe benötigen, wenden Sie sich an Intel Customer Support , um eine Online-Serviceanfrage einzureichen.