Foto: John Locher

Schwerer Fehler macht fast alle Rechner mit aktuellen Intel-CPUs angreifbar

21. November 2017, 10:27

Angreifer können Systeme via Management Engine unabhängig vom eingesetzten Betriebssystem komplett übernehmen

Unter dem Namen "Management Engine" hat Intel in praktisch allen aktuellen Rechnern mit den eigenen CPUs ein Fernwartungs-Feature eingebaut, das komplett unabhängig vom eigentlichen Betriebssystem agiert. Dieser Umstand sorgte in der Vergangenheit immer wieder für Kritik von Sicherheitsexperten, deren Warnungen sich nun zu bestätigen scheinen, wie Wired berichtet.

Fehlerhaft

Eine Reihe von Lücken in der "Intel Management Engine" sowie im Authentifizierungs Tool "Trusted Execution Engine", erlauben es betroffene Rechner komplett zu übernehmen. Ein Angreifer kann dabei beispielsweise Schadcode über die USB-Schnittstelle einschmuggeln, und so in Folge sämtliche Aktivitäten der User überwachen und mitlesen. Aber auch Angriffe von außen sind denkbar, zumindest wenn man es schafft Administrationsrechte zu erreichen.

Möglich wird dies durch die Art, wie die Management Engine implementiert ist: Handelt es sich dabei doch um ein eigenständiges System, das auf einem separaten Chip im Rechner läuft, aber kompletten Zugriff auf den Hauptprozessor hat. Dieser Umstand ist es auch, der dazu führt, dass es irrelevant ist, welches Betriebssystem genutzt wird, passiert so ein Angriff doch eine Ebene darunter.

Hintergrund

Sicherheitsexperten warnen seit Jahren davor, dass mit der Intel Management Engine defakto eine Blackbox auf allen Intel-Systemen zu finden ist, bei der niemand so genau weiß, was sie intern eigentlich so tut, die aber äußerst mächtige Möglichkeiten hat. Verschärft wird all dies noch dadurch, dass sich die Management Engine nicht so ohne weitere deaktivieren lässt.

Reichweite

Von dem Fehler sind praktisch alle aktuellen Intel-Chips ab der Skylake-Generation – vom Server über Desktop und Laptop bis zu Geräten des "Internets der Dinge". Intel hat zwar mittlerweile Patches veröffentlicht, eine Fehlerbereinigung kann aber nur über ein Firmware-Update erfolgen, das es bisher aber nur für einige wenige Rechnermodelle gibt. Angesichts früherer Erfahrungen bleibt auch abzuwarten, wann hier mehr Hersteller reagieren – und ob überhaupt.

Bei all dem bleibt unklar, wie schlimm die realen Auswirkungen der Lücken wirklich sein werden. Anhand der – begrenzten – öffentlich verfügbaren Informationen könnten die ganze Angelegenheit sowohl extrem gefährlich als auch eher harmlos sein, formuliert es etwa Google-Sicherheitsforscher Matthew Garrett auf Twitter – wobei zweitere Variante allerdings deutlich weniger wahrscheinlich sei. (apo, 21.11.2017)