Sicherheitslücke in Intel AMT - Radikale Kurzanleitung zum Test und evtl. Abschalten
- Ersteller deckel
- Erstellt am
-
- Schlagworte
- intel amt bios
Ohne externen Flasher eine modifizierte ME zu flashen ist sicherlich riskant, würde ich auch nicht empfehlen. Der Ansatz mit dem Cleaner ist ja nett, nur leider weiß (zumindest im öffentlichen Raum) niemand, was diese Module da alles machen und wie sich die Modifikation genau auswirkt. Es ist gut denkbar, dass man durch das Löschen einiger Module eine noch viel größere Sicherheitslücke aufreißt weil man beispielsweise ein Modul rauswirft, das eine Authentifizierung prüft und die wird dann eben nicht mehr geprüft...
Leider muss meine Empfehlung daher lauten alle Thinkpads nach der Core2Duo-Generation (T400, T500, X200, X301) zu meiden, da es derzeit keine öffentlich bekannte Methode gibt um diese tief eingefressene Malware vollständig zu entfernen - und zwar so, dass der Rechner danach noch normal funktioniert.
Eine neu entdeckte Sicherheitslücke in den neueren Intel-Chipsätzen soll die Ausführung beliebigen Codes erlauben.
ComputerBase.de: Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-Ausführung
black hat - Europe 2017: How to Hack a Turned-Off Computer, or Running Unsigned Code in Intel Management Engine
ComputerBase.de: Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-Ausführung
black hat - Europe 2017: How to Hack a Turned-Off Computer, or Running Unsigned Code in Intel Management Engine
Zuletzt bearbeitet:
Ich hole mal den alten Thread wieder hoch...
Anscheinend ist dem nicht zwangsläufig so: https://forums.lenovo.com/t5/ThinkP...er-ME-Configuration-Screen/m-p/3700893?page=2
Leider ist der dort zitierte Beitrag im Intel Blog nicht mehr verfügbar.
Ich bin allerdings aus einem ganz anderen Grund auf den Beitrag im Lenovo Forum gestoßen: Ich sitze gerade am T540p (mit i5-4300M, dieser hat vPro) einer Bekannten. Auf diesem wollte ich AMT deaktivieren, es gelingt mir jedoch nicht, ins MEBx zu kommen. Wenn ich beim Starten Strg+P drücke, erscheint kurz "Launching the ME Configuration Screen", dann startet Windows.
Hat jemand eine Idee, wie ich beim T540p ins MEBx komme bzw. Intel AMT vollständig deaktivieren kann?
Danke,
Simon
Anscheinend ist dem nicht zwangsläufig so: https://forums.lenovo.com/t5/ThinkP...er-ME-Configuration-Screen/m-p/3700893?page=2
Leider ist der dort zitierte Beitrag im Intel Blog nicht mehr verfügbar.
Ich bin allerdings aus einem ganz anderen Grund auf den Beitrag im Lenovo Forum gestoßen: Ich sitze gerade am T540p (mit i5-4300M, dieser hat vPro) einer Bekannten. Auf diesem wollte ich AMT deaktivieren, es gelingt mir jedoch nicht, ins MEBx zu kommen. Wenn ich beim Starten Strg+P drücke, erscheint kurz "Launching the ME Configuration Screen", dann startet Windows.
Hat jemand eine Idee, wie ich beim T540p ins MEBx komme bzw. Intel AMT vollständig deaktivieren kann?
Danke,
Simon
- Registriert
- 20 Apr. 2007
- Beiträge
- 73.295
Vielleicht ist im UEFI AMT disabled.
Wirklich vollständig kann man die Intel Management Engine nicht deaktivieren, sie wird zum Start benötigt. Siehe auch hier: https://www.heise.de/security/meldung/Intel-Management-Engine-ME-weitgehend-abschaltbar-3814631.html
AMT gibt es tatsächlich nicht ohne vPro. Welche "Zwischenstufe" zwischen "kein AMT" und "Intel ME so weit deaktiviert dass der Laptop gerade noch startet" möchtest du denn erreichen?
AMT gibt es tatsächlich nicht ohne vPro. Welche "Zwischenstufe" zwischen "kein AMT" und "Intel ME so weit deaktiviert dass der Laptop gerade noch startet" möchtest du denn erreichen?
Guter Hinweis, aber leider ist dem nicht so. Um genauer zu sein: Ich kann im BIOS bzw. UEFI keinen Eintrag finden, der in irgendeiner Art und Weise auf Intel AMT schließen lässt.
Das liegt vermutlich daran, dass AMT beim T540p anscheinend nicht mehr AMT sondern SBT (Small Business Technologie) zu heißen scheint. Dieses wird jedenfalls von der "Intel Management and Security Status" Software:
als auch von vom Kommandozeilen Tool MEInfoWin angezeigt:
Dummerweise gibt es im UEFI auch hierzu (SBT) keinen Hinweis.
Ja, das (AMT ohne vPro) scheint für AMT zuzutreffen, laut des Eintrags im Intel Blog auf den ich verwiesen habe, gibt es jedoch ein "Standard Manageability" genanntes "Feature", welches wohl bei nicht vPro CPUs zum Einsatz kommt (kommen kann?). Der Beitrag ist noch im Internet Archive zu finden:
https://web.archive.org/web/2018102...ogs/2009/03/27/what-is-standard-manageability
Anscheinend wurde der Blog Beitrag irgendwann mal geändert, jedenfalls entspricht er nicht dem Zitat im Lenovo Forum
Welche "Zwischenstufe" zwischen "kein AMT" und "Intel ME so weit deaktiviert dass der Laptop gerade noch startet" möchtest du denn erreichen?
Ich möchte nicht die Intel ME deaktivieren, sondern AMT (bzw. nun wohl eher SBT). Quasi so, wie ich es hier (https://thinkpad-forum.de/threads/189807-Intel-AMT-auf-T420-vollständig-deaktivieren) vor fast 5 Jahren schon mal sehr ausführlich für mein T420 beschrieben habe.
