Bild: UnsplashDie behobene Sicherheitsanfälligkeit konnte einen gefährlichen Fehler im Intel Management Engine-Subsystem ausnutzen und ist möglicherweise weiterhin auf Geräten anderer Anbieter vorhanden, die Intel-Prozessoren verwenden.
Apple hat ein Update für macOS High Sierra 10.13.4 veröffentlicht, das eine Sicherheitslücke in der PC-Firmware (
CVE-2018-4251 )
behebt , die von den Experten von Positive Technologies, Maxim Goryachy und Mark Ermolov, entdeckt wurde. Details finden Sie auf der
Website des
Apple Technical Support .
So beschreibt Maxim Goryachy das Problem: „Die Sicherheitsanfälligkeit ermöglicht es einem Angreifer mit Administratorrechten, unbefugten Zugriff auf kritische Teile der Firmware zu erhalten, dort eine anfällige Version von Intel ME zu schreiben und durch dessen Betrieb eine geheime Verbindung zum Gerät herzustellen. In Zukunft wird er in der Lage sein, die vollständige Kontrolle über den Computer zu erlangen und Spionageaktivitäten durchzuführen, ohne die geringste Wahrscheinlichkeit, entdeckt zu werden. “
Informationen zum Herstellungsmodus
Intel ME verfügt über eine spezielle Betriebsart - den sogenannten Fertigungsmodus, der ausschließlich von Motherboard-Herstellern verwendet wird. Dieser Modus bietet zusätzliche Funktionen, die ein Angreifer verwenden kann. Forscher, einschließlich unseres Unternehmens (
So werden Sie der alleinige Eigentümer Ihres PCs ), haben bereits über die Gefahren dieses Modus und seine Auswirkungen auf den Betrieb von Intel ME gesprochen, aber viele Hersteller schalten diesen Modus immer noch nicht aus.
Im Fertigungsmodus können Sie mit Intel ME einen speziellen Befehl ausführen. Anschließend kann der ME-Bereich über den integrierten SPI-Controller im Motherboard beschrieben werden. Mit der Möglichkeit, Code auf dem angegriffenen System auszuführen und Befehle an Intel ME zu senden, kann ein Angreifer die Intel ME-Firmware überschreiben
, einschließlich der Version, die für CVE-2017-5705, CVE-2017-5706 und CVE-2017-5707 anfällig ist Führen Sie beliebigen Code auf Intel ME aus, auch auf Systemen, auf denen der Patch installiert ist.
Es stellte sich heraus, dass dieser Modus auf dem MacBook ebenfalls aktiviert ist. Obwohl die Firmware selbst zusätzlichen Schutz gegen einen Angriff auf das Umschreiben von SPI-Flash-Regionen bietet (wenn der Zugriff auf eine Region offen ist, erlaubt die Firmware das Laden des Betriebssystems nicht), fanden die Forscher einen undokumentierten Befehl, der Intel ME neu startet, ohne das Hauptsystem neu zu starten, was dies ermöglichte Umgehung dieses Schutzes. Es ist erwähnenswert, dass ein ähnlicher Angriff nicht nur auf Apple-Computern ausgeführt werden kann.
Positive Technologies hat ein spezielles Dienstprogramm entwickelt, mit dem Sie den Status des Fertigungsmodus überprüfen können. Sie können es von diesem
Link herunterladen. Wenn das Ergebnis der Überprüfung zeigt, dass der Modus eingeschaltet ist, empfehlen wir Ihnen, sich an den Hersteller Ihres Computers zu wenden, um Anweisungen zum Ausschalten zu erhalten. Das Dienstprogramm wurde für Windows und Linux entwickelt, da Benutzer von Apple-Computern nur das obige Update installieren.
Informationen zur Intel Management Engine
Die Intel Management Engine ist ein Mikrocontroller, der in den PCH-Chip (Platform Controller Hub) mit einem Satz integrierter Peripheriegeräte integriert ist. Über PCH wird fast die gesamte Kommunikation zwischen dem Prozessor und externen Geräten ausgeführt, sodass Intel ME auf fast alle Daten auf dem Computer zugreifen kann. Den Forschern gelang es, einen
Fehler zu finden, mit dem nicht signierter Code in PCH auf jedem Motherboard für Prozessoren der Skylake-Familie und höher ausgeführt werden kann.
Über das Ausmaß des Problems
Anfällige Intel-Chipsätze werden weltweit eingesetzt, von Heim- und Arbeits-Laptops bis hin zu Unternehmensservern. Ein zuvor von Intel veröffentlichtes
Update schloss die Möglichkeit der Ausnutzung der Sicherheitsanfälligkeiten CVE-2017-5705, CVE-2017-5706 und CVE-2017-5707 nicht aus, da ein Angreifer, wenn er Schreibzugriff auf die ME-Region hat, jederzeit die anfällige Version von ME aufzeichnen und die Sicherheitsanfälligkeit ausnutzen kann in ihr.