Sicherheitslücke in Intel AMT - Radikale Kurzanleitung zum Test und evtl. Abschalten

Riskante Sache ... Gibt in dem Blog einen Bericht, wo es jemand zwei MBs gebricked hat. So wirklich vertrauenerweckend scheint mit die eingebaute Heuristik nicht. Würde ich nicht auf einen Rechner loslassen, zu dem es noch keine Erfolgsmeldung gibt.

Ohne externen Flasher eine modifizierte ME zu flashen ist sicherlich riskant, würde ich auch nicht empfehlen. Der Ansatz mit dem Cleaner ist ja nett, nur leider weiß (zumindest im öffentlichen Raum) niemand, was diese Module da alles machen und wie sich die Modifikation genau auswirkt. Es ist gut denkbar, dass man durch das Löschen einiger Module eine noch viel größere Sicherheitslücke aufreißt weil man beispielsweise ein Modul rauswirft, das eine Authentifizierung prüft und die wird dann eben nicht mehr geprüft...

Leider muss meine Empfehlung daher lauten alle Thinkpads nach der Core2Duo-Generation (T400, T500, X200, X301) zu meiden, da es derzeit keine öffentlich bekannte Methode gibt um diese tief eingefressene Malware vollständig zu entfernen - und zwar so, dass der Rechner danach noch normal funktioniert.
 
Eine neu entdeckte Sicherheitslücke in den neueren Intel-Chipsätzen soll die Ausführung beliebigen Codes erlauben.

Im Programm der Black Hat 2017 verbirgt sich Sprengstoff, denn eine Lücke in Intels Chipsätzen soll die Ausführung beliebigen Codes ermöglichen. Schuld ist die Intel Management Engine, die seit rund zehn Jahren in jedem Intel-Chipsatz steckt und Zugriff auf fast alle Komponenten und Daten des PCs hat, ohne überwacht zu werden.

ComputerBase.de: Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-Ausführung

black hat - Europe 2017: How to Hack a Turned-Off Computer, or Running Unsigned Code in Intel Management Engine
 
Zuletzt bearbeitet:
Ich hole mal den alten Thread wieder hoch...

Sehe ich das richtig, dass das hier beschriebene Problem nur dann auftreten kann, wenn man eine CPU mit vPro besitzt?

Kein vPro = kein AMT, oder mache ich da einen Denkfehler?

Anscheinend ist dem nicht zwangsläufig so: https://forums.lenovo.com/t5/ThinkP...er-ME-Configuration-Screen/m-p/3700893?page=2
Leider ist der dort zitierte Beitrag im Intel Blog nicht mehr verfügbar.

Ich bin allerdings aus einem ganz anderen Grund auf den Beitrag im Lenovo Forum gestoßen: Ich sitze gerade am T540p (mit i5-4300M, dieser hat vPro) einer Bekannten. Auf diesem wollte ich AMT deaktivieren, es gelingt mir jedoch nicht, ins MEBx zu kommen. Wenn ich beim Starten Strg+P drücke, erscheint kurz "Launching the ME Configuration Screen", dann startet Windows.

Hat jemand eine Idee, wie ich beim T540p ins MEBx komme bzw. Intel AMT vollständig deaktivieren kann?

Danke,
Simon
 
Vielleicht ist im UEFI AMT disabled.

Guter Hinweis, aber leider ist dem nicht so. Um genauer zu sein: Ich kann im BIOS bzw. UEFI keinen Eintrag finden, der in irgendeiner Art und Weise auf Intel AMT schließen lässt.

Das liegt vermutlich daran, dass AMT beim T540p anscheinend nicht mehr AMT sondern SBT (Small Business Technologie) zu heißen scheint. Dieses wird jedenfalls von der "Intel Management and Security Status" Software:

T540p_IntelManagementSercurityStatus.png

als auch von vom Kommandozeilen Tool MEInfoWin angezeigt:

T540p_MEInfoWin.png

Dummerweise gibt es im UEFI auch hierzu (SBT) keinen Hinweis.


Wirklich vollständig kann man die Intel Management Engine nicht deaktivieren, sie wird zum Start benötigt. Siehe auch hier: https://www.heise.de/security/meldung/Intel-Management-Engine-ME-weitgehend-abschaltbar-3814631.html

AMT gibt es tatsächlich nicht ohne vPro.

Ja, das (AMT ohne vPro) scheint für AMT zuzutreffen, laut des Eintrags im Intel Blog auf den ich verwiesen habe, gibt es jedoch ein "Standard Manageability" genanntes "Feature", welches wohl bei nicht vPro CPUs zum Einsatz kommt (kommen kann?). Der Beitrag ist noch im Internet Archive zu finden:
https://web.archive.org/web/2018102...ogs/2009/03/27/what-is-standard-manageability
Anscheinend wurde der Blog Beitrag irgendwann mal geändert, jedenfalls entspricht er nicht dem Zitat im Lenovo Forum

Welche "Zwischenstufe" zwischen "kein AMT" und "Intel ME so weit deaktiviert dass der Laptop gerade noch startet" möchtest du denn erreichen? :D

Ich möchte nicht die Intel ME deaktivieren, sondern AMT (bzw. nun wohl eher SBT). Quasi so, wie ich es hier (https://thinkpad-forum.de/threads/189807-Intel-AMT-auf-T420-vollständig-deaktivieren) vor fast 5 Jahren schon mal sehr ausführlich für mein T420 beschrieben habe.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben