[Warning] Schwerwiegende Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren
Robert Waldner
waldner at cert.at
Tue Nov 21 14:43:04 CET 2017
21. November 2017
Beschreibung
Wie Intel meldet (INTEL-SA-00086), gibt es aktuell mehrere
Schwachstellen in Systemen mit folgenden Features von Intel
Prozessoren:
* Intel Management Engine (ME)
* Intel Trusted Execution Engine (TXE)
* Intel Server Platform Services (SPS)
Grob gesagt sind also praktisch alle Systeme mit aktuellen
Intel-Prozessoren betroffen (Details unten).
Details
Je nach genauer Schwachstelle können Angreifer durch lokalen
(physischen) Zugriff oder Ausführung von unautorisierten Programmen
beliebigen Code auf betroffenen Maschinen ausführen.
CVE-Nummern dazu: CVE-2017-5705, CVE-2017-5706, CVE-2017-5707,
CVE-2017-5708, CVE-2017-5709, CVE-2017-5710, CVE-2017-5711,
CVE-2017-5712
CVSSv3 Scores bis 8,2.
Auswirkungen
Ein Angreifer hat potentiell vollen Zugriff auf ein betroffenes
System, daher sind alle Daten auf diesen Systemen, sowie alle durch
diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN,
Fileshares, etc.) Daten und anderen Systeme gefährdet.
Da die Kompromittierung nicht auf Betriebssystem-Ebene, sondern
"darunter" stattfindet, gibt es seitens des Betriebssystems auch kaum
bis keine Möglichkeiten dies zu verhindern bzw. zu entdecken.
Eine Kompromittierung, die auch System-Neustarts übersteht, ist
ebenso denkbar.
Betroffene Systeme
Systeme mit folgenden Prozessoren:
* Intel "Core" Prozessoren der 6., 7. und 8. Generation
* Intel "Xeon" Prozessoren E3-1200 v5 und v6
* Intel "Xeon" Prozessoren der "Scalable" Familie
* Intel "Xeon" Prozessoren der "W" Familie
* Intel "Atom" C3000 Prozessoren
* "Apollo Lake" Intel Atom Prozessoren der E3900 Serie
* "Apollo Lake" Intel Pentium
* Celeron Prozessoren der N und J Serien
Abhilfe
Leider gibt es hier keine direkte Abhilfe seitens Intel,
entsprechende Updates müssen von den System-/Mainboard-Herstellern
zur Verfügung gestellt werden.
Intel stellt jedoch ein Tool (für Microsoft Windows und Linux)
bereit, mit dem sich feststellen lässt, ob ein System verwundbar ist:
http://www.intel.com/sa-00086-support
Wir empfehlen bei verwundbaren Systemen mit dem Hersteller Kontakt
aufzunehmen, um entsprechende Updates zu erhalten.
Folgende Hersteller haben bereits Updates zur Verfügung gestellt,
bzw. bieten entsprechende Informationen an:
* Fujitsu:
http://support.ts.fujitsu.com/content/intel_firmware_SA86.asp
* Lenovo:
https://support.lenovo.com/at/en/product_security/len-17297
Da sich manche der Lücken durch physischen Zugriff (etwa Anstecken
eines präparierten USB-Sticks) ausnutzen lassen, empfehlen wir
weiters, ungepatchte Geräte entsprechend durch klassische Massnahmen
zu sichern, zB:
* Notebooks nicht unbeaufsichtigt lassen (etwa in Hotelzimmern oder
bei Veranstaltungen)
* öffentlich zugängliche Systeme (Empfangsbereiche, Kioske usw.)
Hardware-seitig sichern
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
möglichst für alle Arten von Browser-Plugins verwendet werden.
__________________________________________________________________
Informationsquelle(n):
Security Advisory SA-00086 von Intel (englisch)
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
Artikel dazu bei Heise Security
https://heise.de/-3895175
Artikel dazu bei derstandard.at
http://derstandard.at/2000068197447/Schwerer-Fehler-macht-fast-alle-aktuellen-PCs-mit-Intel-CPU
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20171121/a40ae14f/attachment.sig>
More information about the Warning
mailing list