Intel® Management Engine kritisches Firmware-Update (Intel-SA-00086)

Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) und Intel® Server Platform Services (Intel® SPS 4.0) Schwachstelle (Intel-SA-00086)

Als Reaktion auf von externen Forschern identifizierte Probleme hat Intel eine umfassende und umfassende Sicherheitsüberprüfung folgender Themen durchgeführt, mit dem Ziel, die Firmware-Resilienz zu verbessern:

• Intel® Management Engine (Intel® ME)
• Intel® Trusted Execution Engine (Intel® TXE)
• Intel® Server Platform Services (SPS)

Intel hat Sicherheitslücken identifiziert, die möglicherweise bestimmte PCs, Server und IoT-Plattformen betreffen könnten.

Systeme mit Intel ME Firmware Versionen 6.x-11.x, Server mit SPS Firmware Version 4.0 und Systeme mit TXE Version 3.0 sind betroffen. Diese Firmware-Versionen finden Sie auf bestimmten Prozessoren bei den folgenden Anbietern:

• 1., 2., 3., 4., 5., 6., 7. und 8. Generation der Intel® Core Prozessor-Familien™
• Intel® Xeon® Prozessor E3-1200 v5 und v6 Produktfamilie
• Intel® Xeon® Prozessor Skalierbare Familie
• Intel® Xeon® W Prozessor
• Intel Atom® C3000 Prozessorfamilie
• Apollo Lake Intel Atom® Prozessor E3900 Serie
• Apollo Lake Intel® Pentium® Prozessoren
• Intel® Pentium® Prozessor G-Serie
• Intel® Celeron® G-, N- und J-Serie Prozessoren

Um festzustellen, ob die identifizierten Schwachstellen Ihr System betreffen, laden Sie das Intel CSME-Versionserkennungstool über die untenstehenden Links herunter und starten Sie es.

Abschnitt Häufig gestellte Fragen

Verfügbare Ressourcen

• Offizieller Sicherheitshinweis von Intel: Technische Details zur Schwachstelle

Ressourcen für Microsoft- und Linux*-Nutzer

• Intel CSME-Versionserkennungstool

Ressourcen von System-/Mainboard-Herstellern

• ASRock: Support-Informationen
• ASUS: Unterstützungsinformationen
• Compulab: Support-Informationen
• Dell-Client: Supportinformationen
• Fujitsu: Support-Informationen
• GIGABYTE: Supportinformationen
• HPE-Server: Supportinformationen
• Intel® NUC und Intel® Compute Stick: Supportinformationen
• Intel-Server®: Supportinformationen
• Lenovo: Support-Informationen
• Oracle: Unterstützungsinformationen
• Quanta/QCT: Unterstützungsinformationen
• Siemens: Unterstützungsinformationen
• Supermicro: Unterstützungsinformationen
• Vaio: Support-Informationen

Häufig gestellte Fragen:

F: Das Intel CSME Version Detection Tool meldet, dass mein System verwundbar ist. Was soll ich tun?
A: Intel hat System- und Mainboard-Hersteller mit den notwendigen Firmware- und Software-Updates ausgestattet, um die in Security Advisory Intel-SA-00086 identifizierten Sicherheitslücken zu beheben.

Kontaktieren Sie Ihren System- oder Mainboard-Hersteller bezüglich ihrer Pläne, die Updates für Endnutzer bereitzustellen.

Einige Hersteller haben Intel einen Direktlink bereitgestellt, damit ihre Kunden zusätzliche Informationen und verfügbare Software-Updates erhalten können (siehe die untenstehende Liste).

F: Warum muss ich mein System oder den Hersteller meines Mainboards kontaktieren? Warum kann Intel nicht das notwendige Update für mein System bereitstellen?
A: Intel kann aufgrund von Firmware-Anpassungen der Management-Engine durch System- und Mainboard-Hersteller kein generisches Update bereitstellen.

F: Mein System wird vom Intel CSME Version Detection Tool als möglicherweise verwundbar gemeldet. Was soll ich tun?
A: Ein Status " Möglicherweise verwundbar" wird üblicherweise angezeigt, wenn einer der folgenden Treiber nicht installiert ist:

• Intel® Management Engine Interface (Intel® MEI) Treiber

• Intel® Trusted Execution Engine Interface (Intel® TXEI) Treiber

Kontaktiere dein System oder den Mainboard-Hersteller, um die richtigen Treiber für dein System zu erhalten.

F: Mein System- oder Mainboard-Hersteller ist in Ihrer Liste nicht aufgeführt. Was soll ich tun?
A: Die folgende Liste zeigt Links von System- oder Mainboard-Herstellern, die Intel Informationen bereitgestellt haben. Wenn Ihr Hersteller nicht angezeigt wird, kontaktieren Sie ihn über deren Standard-Supportmechanismen (Website, Telefon, E-Mail usw.) für Unterstützung.

F: Welche Arten von Zugriff benötigt ein Angreifer, um die identifizierten Schwachstellen auszunutzen?
A: Wenn der Gerätehersteller von Intel empfohlene Flash Descriptor-Schreibschutzmaßnahmen aktiviert, benötigt ein Angreifer physischen Zugriff auf den Firmware-Flash der Plattform, um Schwachstellen auszunutzen, die in folgenden Bereichen identifiziert wurden:

• CVE-2017-5705
• CVE-2017-5706
• CVE-2017-5707
• CVE-2017-5708
• CVE-2017-5709
• CVE-2017-5710
• CVE-2017-5711

Ende der Herstellung

Der Angreifer erhält physischen Zugriff, indem er die Plattform manuell mit einem bösartigen Firmware-Image über einen Flash-Programmierer aktualisiert, der physisch mit dem Flash-Speicher der Plattform verbunden ist. Der Schreibschutz des Flash-Descriptors ist eine Plattformeinstellung, die üblicherweise am Ende der Herstellung festgelegt wird. Der Schreibschutz des Flash Descriptor schützt die Einstellungen des Flash davor, nach Abschluss der Herstellung böswillig oder unbeabsichtigt verändert zu werden.

Wenn der Gerätehersteller keine von Intel empfohlenen Flash Descriptor-Schreibschutzmaßnahmen aktiviert, benötigt ein Angreifer Zugriff auf den Operating Kernel (logischer Zugriff, Betriebssystemring 0). Der Angreifer benötigt diesen Zugriff, um die identifizierten Schwachstellen auszunutzen, indem er ein bösartiges Firmware-Image über einen bösartigen Plattformtreiber auf die Plattform anwendet.

Die in CVE-2017-5712 identifizierte Schwachstelle ist aus der Ferne über das Netzwerk in Verbindung mit einer gültigen administrativen Intel® Management Engine-Berechtigung ausnutzbar. Die Schwachstelle ist nicht ausnutzbar, wenn keine gültige administrative Zugangsdaten verfügbar sind.

Wenn Sie weitere Unterstützung benötigen, wenden Sie sich an den Intel-Kundensupport , um eine Online-Serviceanfrage einzureichen.