Intel veröffentlicht Patches für neue Sicherheitslücken in der ME-Firmware

Anfang Juli veröffentlichte Intel zwei Sicherheitshinweise ( SA-00112 und SA-00118 ), in denen die Korrekturen in der Intel Management Engine-Firmware beschrieben wurden. Beide Sicherheitsbulletins beschreiben Fehler, die es einem Angreifer ermöglichen, beliebigen Code auf dem internen PCH-Prozessor auszuführen (Minute IA).

Diese Fehler ähneln denen, die Sicherheitsexperten von Positive Technologies im letzten November entdeckt haben ( SA-00086 ). Die Geschichte endete jedoch nicht dort und jetzt hat Intel neue Sicherheitslücken in ME veröffentlicht.

Was ist passiert

CVE-2018-3627, beschrieben in SA-00118, wird im Bulletin als logischer Fehler markiert (dies ist kein Pufferüberlauf), der zur Ausführung von beliebigem Code führt. Für den Betrieb benötigt der Angreifer lokalen Zugriff, während die in SA-00086 genannte Sicherheitsanfälligkeit nur bei Fehlern in der vom OEM vorgenommenen Systemkonfiguration lokal ausgenutzt werden kann. Dieser Zustand macht die Sicherheitsanfälligkeit gefährlicher.

Im Fall von CVE-2018-3628 (beschrieben in SA-00112) ist es noch schlimmer. Eine Sicherheitsanfälligkeit im AMT-Prozess der Management Engine-Firmware führt zur Remotecodeausführung, und der Angreifer benötigt kein AMT-Administratorkonto, wie bei Verwendung von CVE-2017-5712 von SA-00086.

Intel beschreibt diesen Fehler als "Pufferüberlauf im HTTP-Handler", was die Möglichkeit nahe legt, Code ohne Autorisierung remote auszuführen. Dies ist das Worst-Case-Szenario, das alle Benutzer der Intel-Plattform befürchten. Dieser Fehler ähnelt dem anerkannten CVE-2017-5689 , der im Mai 2017 von Embedi gefunden wurde, hat jedoch weitaus schwerwiegendere Konsequenzen.

Was weiter

Zumindest ein wenig, um die Situation zu lindern, könnte die Tatsache sein, dass Intel für CVE-2018-3628 die Möglichkeit des Betriebs nur über das lokale Subnetz meldet.

Die Spezialisten von Positive Technologies planen, diese Fehler in Zukunft genauer zu untersuchen. Es ist bemerkenswert, dass Intel die gleichen Firmware-Versionen wie für SA-00086 mit Empfehlungen zur Behebung von Sicherheitslücken angegeben hat. Es ist möglich, dass diese Fehler bei der Sicherheitsüberprüfung von Intel ME-Code als Teil von SA-00086 gefunden wurden. Intel hat jedoch beschlossen, sie später zu veröffentlichen, um die negativen Auswirkungen der Anzahl kritischer Fehler in SA-00086 abzuschwächen.

Andere positive Technologien Intel ME Sicherheitsmaterialien:

• So hacken Sie einen Computer zum Herunterfahren oder führen Code in Intel ME aus
• Intel hat eine Sicherheitslücke im Management Engine-Subsystem behoben, die von Experten von Positive Technologies gefunden wurde
• Intel ME-Sicherheitsanfälligkeit kann unsignierten Code ausführen
• Schalten Sie Intel ME 11 im undokumentierten Modus aus
• Kampf gegen die Fernbedienung: Deaktivieren von Intel ME