Sicherheitshinweis zur Intel® Converged Security Management Engine (Intel® CSME): SA-00404

Dokumentation

Produktinformationen und Dokumente

000057259

30.11.2023

Am 8. September 2020 hat Intel Informationen für die Sicherheitsempfehlung INTEL-SA-00404 veröffentlicht. Diese Informationen wurden im Rahmen des regulären Produktaktualisierungsprozesses von Intel veröffentlicht.

Die Sicherheitsempfehlung weist darauf hin, dass potenzielle Sicherheitslücken eine Eskalation von Berechtigungen in folgenden Bereichen ermöglichen können:

  • Intel® Active-Management-Technologie (Intel® AMT)
  • Intel® Standard Manageability (ISM)

Intel veröffentlicht Firmware- und Software-Updates, um diese potenziellen Schwachstellen zu minimieren.

Ausführliche Informationen zu den Bewertungen der Common Vulnerabilities and Exposures (CVEs) und des Common Vulnerability Scoring System (CVSS) finden Sie in der öffentlichen Sicherheitsempfehlung INTEL-SA-00404.

Hier finden Sie weitere Informationen.

Betroffene Produkte

Intel® Active-Management-Technologie (Intel® AMT), Intel® Standard Manageability (ISM):

Aktualisierte Version Ersetzt Version
11.8.79 11.0 bis 11.8.77
11.11.79 11.10 bis 11.11.77
11.22.79 11.20 bis 22.11.77
12.0.68 12.0 bis 12.0.64
14.0.39 14.0.0 bis 14.0.33

Hinweis

Die® Firmware-Versionen Intel Manageability Engine (Intel® ME) 3.x bis 10.x werden nicht mehr unterstützt. Für diese Versionen sind keine neuen Releases geplant.

Empfehlungen

Wenden Sie sich an den Hersteller Ihres Systems oder Mainboards, um ein Firmware- oder BIOS-Update zu erhalten, das diese Sicherheitsanfälligkeit behebt. Intel kann keine Updates für Systeme oder Mainboards anderer Hersteller bereitstellen.

Häufig gestellte Fragen

Klicken Sie auf das Thema, um weitere Informationen anzuzeigen:

Wie kann ich diese Sicherheitsanfälligkeiten beheben? Wenden Sie sich an den Hersteller Ihres Systems oder Mainboards, um ein Firmware- oder BIOS-Update zu erhalten, das diese Sicherheitsanfälligkeit behebt. Intel kann keine Updates für Systeme oder Mainboards anderer Hersteller bereitstellen.
Wie lauten die Schwachstellenbeschreibungen, die CVE-Nummern (Common Vulnerabilities and Exposures) und die CVSS-Informationen (Common Vulnerability Scoring System) für die identifizierten Schwachstellen im Zusammenhang mit Intel® AMT und ISM? Vollständige Informationen zu den CVEs im Zusammenhang mit dieser Ankündigung finden Sie in der Sicherheitsempfehlung zu INTEL-SA-00404 .
Wie kann ich feststellen, ob ich von dieser Sicherheitsanfälligkeit betroffen bin?Das Intel® Converged Security and Management Engine (Intel® CSME) Erkennungstool kann auf jeder Plattform ausgeführt werden, um zu beurteilen, ob auf der Plattform die neueste Firmware-Version ausgeführt wird. Das Tool ist im Download-Center verfügbar.
Ich habe ein System oder Mainboard von Intel (Intel® NUC, Intel® Mini PC), das sich als anfällig erweist. Was soll ich tun? Gehen Sie zum Intel Support und navigieren Sie zur Support-Seite für Ihr Produkt. Sie können nach BIOS- oder Firmware-Updates für Ihr System suchen.
Ich habe meinen Computer aus Komponenten gebaut, daher habe ich keinen Systemhersteller, an den ich mich wenden kann. Was soll ich tun? Wenden Sie sich an den Hersteller des Mainboards, das Sie zum Bau Ihres Systems gekauft haben. Sie sind dafür verantwortlich, das richtige BIOS- oder Firmware-Update für das Mainboard zu verteilen.
Gibt es mildernde Faktoren, die die Anfälligkeit eines Systems für einen Exploit dieses Problems verringern könnten?
  • Für die Netzwerkangriffsvektor gilt: Wenn Intel® AMT nicht bereitgestellt ist, ist das System nicht anfällig.
  • Für die lokale Angriffsvektor gilt: Wenn der Intel® Local Manageability Service (Intel® LMS) nicht installiert ist oder sich im gestoppten oder deaktivierten Zustand befindet, ist das System nicht anfällig.
  • Wenn die Plattform für die Verwendung von CIRA (Client Initiated Remote Access) konfiguriert ist und die Umgebungserkennung so eingestellt ist, dass sie angibt, dass sich die Plattform immer außerhalb des Unternehmensnetzwerks befindet, befindet sich das System im reinen CIRA-Modus und ist nicht für den Netzwerkvektor verfügbar gemacht.
  • Intel hat verschiedenen Sicherheitsanbietern, die Signaturen in ihren Produkten zur Verhinderung von Eindringlingen veröffentlicht haben, als zusätzliche Maßnahme zum Schutz der Kunden bei der Planung der Bereitstellung dieses Updates Anleitungen zur Erkennung bereitgestellt.
  • Weitere Informationen erhalten Sie bei Ihrem Intel-Vertreter/Systemhersteller.
Wie kann ich feststellen, ob mein System diese Kriterien erfüllt?
  • Um festzustellen, ob Intel AMT bereitgestellt ist, laden Sie das Intel® Endpoint Management Assistant Configuration Tool (Intel® EMA Configuration Tool) herunter:
    • Installieren Sie die Datei EMAConfigTool.msi, und führen Sie sie über die administrative Windows CLI (Befehlszeilenschnittstelle) C:\Programme (x86)\Intel\EMAConfigTool aus.
    • Die Ausgabe der Intel® EMA Configuration Tool gibt an, ob Intel® AMT bereitgestellt wurde und den Status des Local Manageability Service (Intel® LMS). Die folgenden Schritte zeigen auch den Status der Intel® LMS.
  • So stellen Sie fest, ob sich Intel® Local Manageability Service (Intel® LMS) im Status "Beendet " oder " Deaktiviert" der Windows-Dienste befindet:
    1. Drücken Sie die Windows* Taste auf Ihrer Tastatur und führen Sie services.msc aus.
    2. Suchen Sie nach dem® lokalen Verwaltungsdienst der Intel Verwaltungs- und Sicherheitsanwendung und überprüfen Sie die Spalte Starttyp .

Wenn Sie weitere Fragen zu diesem Thema haben, wenden Sie sich bitte an Intel Customer Support.