[Warning] Schwerwiegende Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren

Robert Waldner waldner at cert.at
Tue Nov 21 14:43:04 CET 2017


21. November 2017

Beschreibung

   Wie Intel meldet (INTEL-SA-00086), gibt es aktuell mehrere
   Schwachstellen in Systemen mit folgenden Features von Intel
   Prozessoren:
     * Intel Management Engine (ME)
     * Intel Trusted Execution Engine (TXE)
     * Intel Server Platform Services (SPS)

   Grob gesagt sind also praktisch alle Systeme mit aktuellen
   Intel-Prozessoren betroffen (Details unten).

Details

   Je nach genauer Schwachstelle können Angreifer durch lokalen
   (physischen) Zugriff oder Ausführung von unautorisierten Programmen
   beliebigen Code auf betroffenen Maschinen ausführen.

   CVE-Nummern dazu: CVE-2017-5705, CVE-2017-5706, CVE-2017-5707,
   CVE-2017-5708, CVE-2017-5709, CVE-2017-5710, CVE-2017-5711,
   CVE-2017-5712
   CVSSv3 Scores bis 8,2.

Auswirkungen

   Ein Angreifer hat potentiell vollen Zugriff auf ein betroffenes
   System, daher sind alle Daten auf diesen Systemen, sowie alle durch
   diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN,
   Fileshares, etc.) Daten und anderen Systeme gefährdet.

   Da die Kompromittierung nicht auf Betriebssystem-Ebene, sondern
   "darunter" stattfindet, gibt es seitens des Betriebssystems auch kaum
   bis keine Möglichkeiten dies zu verhindern bzw. zu entdecken.
   Eine Kompromittierung, die auch System-Neustarts übersteht, ist
   ebenso denkbar.

Betroffene Systeme

   Systeme mit folgenden Prozessoren:
     * Intel "Core" Prozessoren der 6., 7. und 8. Generation
     * Intel "Xeon" Prozessoren E3-1200 v5 und v6
     * Intel "Xeon" Prozessoren der "Scalable" Familie
     * Intel "Xeon" Prozessoren der "W" Familie
     * Intel "Atom" C3000 Prozessoren
     * "Apollo Lake" Intel Atom Prozessoren der E3900 Serie
     * "Apollo Lake" Intel Pentium
     * Celeron Prozessoren der N und J Serien

Abhilfe

   Leider gibt es hier keine direkte Abhilfe seitens Intel,
   entsprechende Updates müssen von den System-/Mainboard-Herstellern
   zur Verfügung gestellt werden.

   Intel stellt jedoch ein Tool (für Microsoft Windows und Linux)
   bereit, mit dem sich feststellen lässt, ob ein System verwundbar ist:
   http://www.intel.com/sa-00086-support

   Wir empfehlen bei verwundbaren Systemen mit dem Hersteller Kontakt
   aufzunehmen, um entsprechende Updates zu erhalten.
   Folgende Hersteller haben bereits Updates zur Verfügung gestellt,
   bzw. bieten entsprechende Informationen an:
     * Fujitsu:
       http://support.ts.fujitsu.com/content/intel_firmware_SA86.asp
     * Lenovo:
       https://support.lenovo.com/at/en/product_security/len-17297

   Da sich manche der Lücken durch physischen Zugriff (etwa Anstecken
   eines präparierten USB-Sticks) ausnutzen lassen, empfehlen wir
   weiters, ungepatchte Geräte entsprechend durch klassische Massnahmen
   zu sichern, zB:
     * Notebooks nicht unbeaufsichtigt lassen (etwa in Hotelzimmern oder
       bei Veranstaltungen)
     * öffentlich zugängliche Systeme (Empfangsbereiche, Kioske usw.)
       Hardware-seitig sichern

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
   Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
   möglichst für alle Arten von Browser-Plugins verwendet werden.
     __________________________________________________________________

   Informationsquelle(n):
   Security Advisory SA-00086 von Intel (englisch)

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
   Artikel dazu bei Heise Security
   https://heise.de/-3895175
   Artikel dazu bei derstandard.at

http://derstandard.at/2000068197447/Schwerer-Fehler-macht-fast-alle-aktuellen-PCs-mit-Intel-CPU
-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20171121/a40ae14f/attachment.sig>


More information about the Warning mailing list