Sicherheitslücke in Intel AMT - Radikale Kurzanleitung zum Test und evtl. Abschalten
- Ersteller deckel
- Erstellt am
-
- Schlagworte
- intel amt bios
think_pad
Well-known member
- Registriert
- 20 Feb. 2014
- Beiträge
- 6.303
Bezieht sich auf folgenden Artikel: ---> https://www.heise.de/security/meldu...-vielen-Intel-Systemen-seit-2010-3700880.html
Kurzanleitung zum Beheben des Problems...
Punkt 1. - 5.
Kurzanleitung zum Beheben des Problems...
- Download --> https://downloadcenter.intel.com/download/26691/Intel-SCS-System-Discovery-Utility
- entzippen und SCSDiscovery.exe nach C:\ kopieren
- CMD-Box mit (!) Admin-Rechten öffnen und C:\>SCSDiscovery.exe SystemDiscovery C:\skuamt.xml /noregistry ausführen
- Erzeugte skuamt.xml im Editor öffnen und nach dem Code "AMTSKU" suchen
- Der Eintrag lautet z.B. <AMTSKU>Intel(R) Full AMT Manageability</AMTSKU><AMTversion>7.1.3</AMTversion><FWVersion>7.1.3.1053</FWVersion>, es kommt auf die letzten vier (roten) Ziffern an: Liegt diese über 3000, ist das Problem behoben. Liegt diese wie hier unter 3000, nämlich 1053, und man hat keine neue Firmware zur Hand, muss man handeln.
- LMS muss abgeschaltet und sicherheitshalber auch gelöscht oder umbenannt werden.
Punkt 1. - 5.
Punkt 6.
LMS.exe muss vom Admin "per Hand gelöscht" oder z.B. in "lms.bak" umbenannt werden.
Zuletzt bearbeitet:
Einen Thread dazu haben wir schon - und einer reicht glaube ich 
https://thinkpad-forum.de/threads/207128-erneut-Lücke-in-Intel-Management-Engine-(ME)
Die Anleitung ist auch direkt bei Intel zu finden: https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075 Mitigation Guide-Rev 1.1.pdf
https://thinkpad-forum.de/threads/207128-erneut-Lücke-in-Intel-Management-Engine-(ME)Die Anleitung ist auch direkt bei Intel zu finden: https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075 Mitigation Guide-Rev 1.1.pdf
think_pad
Well-known member
- Registriert
- 20 Feb. 2014
- Beiträge
- 6.303
Einen Thread dazu haben wir schon - und einer reicht glaube ich
Die Anleitung ist auch direkt bei Intel zu finden: https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075 Mitigation Guide-Rev 1.1.pdf
Das wusste ich nicht! Ich dachte, die Heise-Meldung wäre frisch und da habe ich es einfach durchgezogen...
Und da die INTEL-Anleitung so herrlich umständlich ist, habe ich eine "Radikale Kurzanleitung" geschrieben .
Ein MOD kann diesen Thread ja dort später noch ranhängen...
Mhm.
Zuletzt bearbeitet:
- Registriert
- 20 Apr. 2007
- Beiträge
- 74.296
Zuletzt bearbeitet:
cyberjonny
Active member
- Registriert
- 22 Sep. 2007
- Beiträge
- 9.720
Die Überschrift von think_pad wäre für den Thread imho aber aussagekräftiger. Vielleicht kann das ein Mod ja noch anpassen...
Angriff
Bei den ME-Funktionsvarianten "Active Management Technology" (AMT) und "Intel Standard Manageability" (ISM) können Angreifer via Netzwerk höhere Zugriffsrechte erlangen, sofern diese Fernwartungsfunktionen auch eingeschaltet und eingerichtet (provisioned) sind.
Damit dürften die meisten hier nicht betroffen sein...
Bei den ME-Funktionsvarianten "Active Management Technology" (AMT) und "Intel Standard Manageability" (ISM) können Angreifer via Netzwerk höhere Zugriffsrechte erlangen, sofern diese Fernwartungsfunktionen auch eingeschaltet und eingerichtet (provisioned) sind.
Damit dürften die meisten hier nicht betroffen sein...
Den habe ich schon lange im BIOS für unwiderruflich auf Eis gelegt.Damit dürften die meisten hier nicht betroffen sein...
Den habe ich schon lange im BIOS für unwiderruflich auf Eis gelegt.
Unter welchem Punkt findet man das denn?
Reicht es auch die "Intel Management Engine Components" unter Windows zu deinstallieren ? (Sollte der Dienst ja auch verschwinden oder?)
Ev. läst sich über die Lücke der Mist endlich deaktivieren
https://github.com/corna/me_cleaner
Unter dem Punkt "Security" -> "Intel AMT" (oder ähnlich). Dort lässt sich einstellen, ob AMT aktiviert, deaktiviert oder unwiderruflich deaktiviert werden soll.
LG Uwe
Leider nicht.
Permanent deaktiviert werden kann Intel Antitheft (AT). Bei AMT geht es in (einigen ?) Thinkpad-BIOS sogar so verwirrend zu, das durch die Option "Config > Intel AMT > Intel AMT Control" im Zustand "Disabled" AMT eben nicht deaktiviert, sondern auf bekannte Standardwerte zurückgesetzt wird.
Gab es hier (min.) eine Diskussion zu: https://thinkpad-forum.de/threads/189807-Intel-AMT-auf-T420-vollständig-deaktivieren
Grüße, pepun.
Zuletzt bearbeitet:
Hallo,
lt. Update bei Heise wird Lenovo BIOS-Updates selbst für die X20-Generation veröffentlichen(https://support.lenovo.com/de/en/product_security/len-14963)
Das ist gut, andererseits zeigt es, das da wirklich was im Argen liegt.
Grüße, pepun.
lt. Update bei Heise wird Lenovo BIOS-Updates selbst für die X20-Generation veröffentlichen(https://support.lenovo.com/de/en/product_security/len-14963)
Das ist gut, andererseits zeigt es, das da wirklich was im Argen liegt.
Grüße, pepun.
Die Dame bringt es mal auf den Punkt:
https://twitter.com/rootkovska/status/860413732069019648
- - - Beitrag zusammengeführt - - -
Weitere Tips von heise:
https://www.heise.de/ct/artikel/Tipps-zur-Intel-ME-Sicherheitsluecke-SA-00075-3704454.html
https://twitter.com/rootkovska/status/860413732069019648
- - - Beitrag zusammengeführt - - -
Weitere Tips von heise:
https://www.heise.de/ct/artikel/Tipps-zur-Intel-ME-Sicherheitsluecke-SA-00075-3704454.html
Vielleicht noch mal zusammengefasst: das Problem kann aus dem Netzwerk nur ausgenutzt werden, wenn AMT auch aktiv und konfiguriert ist. Das ist im Normalfall nicht der Fall. Ob es das ist, lässt sich überprüfen, indem man im Browser auf http://localhost:16992 zugreift. Lauscht dort ein Webserver, ist AMT aktiv und bei entsprechend alter Firmware angreifbar.
Ist AMT aktiv, aber nicht konfiguriert, lässt sich trotzdem lokal (!) der Intel LMS Dienst ausnutzen, um eine Rechteerweiterung zu erreichen. Das lässt sich umgehen, indem man, wie oben ja schon empfohlen wurde, den LMS Dienst löscht und danach auch dessen Programmdateien. Man muss den Dienst übrigens nicht vorher deaktivieren, wenn man ihn eh löscht. ;-)
Eine wirkliche Gefahr ist die ganze Sache also in verwalteten Umgebungen, wo AMT auch tatsächlich genutzt wird.
Ist AMT aktiv, aber nicht konfiguriert, lässt sich trotzdem lokal (!) der Intel LMS Dienst ausnutzen, um eine Rechteerweiterung zu erreichen. Das lässt sich umgehen, indem man, wie oben ja schon empfohlen wurde, den LMS Dienst löscht und danach auch dessen Programmdateien. Man muss den Dienst übrigens nicht vorher deaktivieren, wenn man ihn eh löscht. ;-)
Eine wirkliche Gefahr ist die ganze Sache also in verwalteten Umgebungen, wo AMT auch tatsächlich genutzt wird.
Dann hoffen wir mal, dass die Bios-Modder von dieser Version auch eine non-Whitelist + Advanced Menus + unlock RAM-Speed Variante basteln können. Auch wenn ich AMT nicht benutze, wäre mir ein aktuelles, gefixtes Bios lieber. Auf die Vorzüge einer gemoddeten Version möchte ich allerdings nicht verzichten.
Hurra, werde wohl also das Wochenende darauf verschwenden das Internet zu durchforsten, ob die Lücke auch unter Linux ausnutzbar ist, statt auf den Jahrmarkt zu gehen. Für mein T510 kommt nämlich sicherlich kein Update mehr 
- - - Beitrag zusammengeführt - - -
hier mal noch ein zusammenfassender Artikel der c't mit Praxistipps.
Werde mir wohl erstmal anlesen wie man einen Portscan durchführt und dann das Heimnetzwerk abklopfen
schönes WE euch allen
- - - Beitrag zusammengeführt - - -
hier mal noch ein zusammenfassender Artikel der c't mit Praxistipps.
Werde mir wohl erstmal anlesen wie man einen Portscan durchführt und dann das Heimnetzwerk abklopfen
schönes WE euch allen
Wenn du AMT nicht aktiviert hast und da es unter Linux den LMS Dienst nicht gibt, solltest du da kein Problem haben.
Solange du auf deinen Geräten nicht AMT aktiviert und eingerichtet hast, ist auch der Portscan im Heimnetz notwendig. Von alleine aktiviert sich das nicht.
Sinnvoller als ein Portscan wäre z.B. der Einsatz von Nessus. Auch die kostenlose Home Version erkennt mit den aktuellen Plugins die AMT Probleme und meldet entsprechende Hinweise.
https://www.tenable.com/products/nessus-vulnerability-scanner
Solange du auf deinen Geräten nicht AMT aktiviert und eingerichtet hast, ist auch der Portscan im Heimnetz notwendig. Von alleine aktiviert sich das nicht.
Sinnvoller als ein Portscan wäre z.B. der Einsatz von Nessus. Auch die kostenlose Home Version erkennt mit den aktuellen Plugins die AMT Probleme und meldet entsprechende Hinweise.
https://www.tenable.com/products/nessus-vulnerability-scanner
Ich denke mal das ist nur die Spitze des Eisbergs, trotzdem Respekt dass Lenovo auch für ältere Thinkpads ein BIOS-Update rausbringen will.
Man muss sich trotzdem darüber im Klaren sein, dass auch nach Deaktivierung im BIOS die ME weiterhin aktiv bleibt. Man kann zwar versuchen mittels me_cleaner Teile davon zu entfernen, was danach aber übrig bleibt und ob man nicht ein noch größeres Loch aufreißt weiß man leider nicht.
Man muss sich trotzdem darüber im Klaren sein, dass auch nach Deaktivierung im BIOS die ME weiterhin aktiv bleibt. Man kann zwar versuchen mittels me_cleaner Teile davon zu entfernen, was danach aber übrig bleibt und ob man nicht ein noch größeres Loch aufreißt weiß man leider nicht.
think_pad
Well-known member
- Registriert
- 20 Feb. 2014
- Beiträge
- 6.303
OT: Gibt es denn irgendwo eine sinnvolle Anleitung, was ein interessierter Freizeit-Admin mit AMT anstellen könnte und wie man es denn, wenn mal will, einrichtet und benutzt? Das wäre ja viel spannender, als einen Fehler zu fixen, der niemals auftritt...
Das hat mit Respekt nichts zu tun: Das sind knallharte, juristische Vorgaben, wenn ein Laptop-Produzent Business-Laptops ausliefert, dass dann die Fehler geflickt werden, die mit der Administration auftreten können. Das ist vergleichbar mit Rückrufaktionen, bei denen sicherheitshalber die Handbremse oder der Airbag ausgestauscht werden, weil die möglichen Schadensersatzansprüche teurer sind, als die Kosten der Rückrufaktion.
Zuletzt bearbeitet:
