Sicherheitslücke in Intel AMT - Radikale Kurzanleitung zum Test und evtl. Abschalten

deckel

New member
Registriert
8 Jan. 2016
Beiträge
494
Ich verweise mal auf heise ...

Leider gibt es (wie so oft) nur Informationen zu Windows.

Wenn jemand noch Informationen bezüglich der Deaktivierung von ME hat wären die sicher gerne gesehen :)
 
Zuletzt bearbeitet von einem Moderator:
Bezieht sich auf folgenden Artikel: ---> https://www.heise.de/security/meldu...-vielen-Intel-Systemen-seit-2010-3700880.html

Kurzanleitung zum Beheben des Problems...


  1. Download --> https://downloadcenter.intel.com/download/26691/Intel-SCS-System-Discovery-Utility
  2. entzippen und SCSDiscovery.exe nach C:\ kopieren
  3. CMD-Box mit (!) Admin-Rechten öffnen und C:\>SCSDiscovery.exe SystemDiscovery C:\skuamt.xml /noregistry ausführen
  4. Erzeugte skuamt.xml im Editor öffnen und nach dem Code "AMTSKU" suchen
  5. Der Eintrag lautet z.B. <AMTSKU>Intel(R) Full AMT Manageability</AMTSKU><AMTversion>7.1.3</AMTversion><FWVersion>7.1.3.1053</FWVersion>, es kommt auf die letzten vier (roten) Ziffern an: Liegt diese über 3000, ist das Problem behoben. Liegt diese wie hier unter 3000, nämlich 1053, und man hat keine neue Firmware zur Hand, muss man handeln.
  6. LMS muss abgeschaltet und sicherheitshalber auch gelöscht oder umbenannt werden.

Punkt 1. - 5.
Microsoft Windows [Version 10.0.14393](c) 2016 Microsoft Corporation. Alle Rechte vorbehalten.
C:\Windows\system32>cd..
C:\Windows>cd..
C:\>SCSDiscovery.exe SystemDiscovery C:\skuamt.xml /noregistry
Punkt 6.
C:\>sc config LMS start= disabled (Leerzeichen nach dem Gleichheitszeichen!)
[SC] ChangeServiceConfig ERFOLG

C:\>sc delete LMS
[SC] DeleteService ERFOLG

C:\>sc qc LMS
[SC] QueryServiceConfig ERFOLG

SERVICE_NAME: LMS
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Intel(R) Management and Security Application Local Management Service
DEPENDENCIES :
SERVICE_START_NAME : LocalSystem
C:\>
LMS.exe muss vom Admin "per Hand gelöscht" oder z.B. in "lms.bak" umbenannt werden.
 
Zuletzt bearbeitet:
Laut heise sollen ja erst die core i Modelle Betroffen sein.

Werden ältere Systeme hier einfach als unrelevant angesehen, oder sind diese wirklich nicht betroffen.

Habe auf meinem T400 eine Intel AMT 4.2.0.1020
 

Das wusste ich nicht! Ich dachte, die Heise-Meldung wäre frisch und da habe ich es einfach durchgezogen...
Und da die INTEL-Anleitung so herrlich umständlich ist, habe ich eine "Radikale Kurzanleitung" geschrieben . :D


Ein MOD kann diesen Thread ja dort später noch ranhängen...

Laut heise sollen ja erst die core i Modelle Betroffen sein. Werden ältere Systeme hier einfach als unrelevant angesehen, oder sind diese wirklich nicht betroffen. Habe auf meinem T400 eine Intel AMT 4.2.0.1020

Mhm.

Welche Systeme betroffen? Betroffen sein können Systeme mit Core i7, Core i5, Core i3, Xeon, Pentium und Celeron, die seit 2010 auf den Markt kamen. Die Lücke klafft in den Firmwares für die AMT-Typen ab Version 6.Desktop-PCs und Notebooks mit der ME-Version AMT, also mit besonderen Intel-Netzwerkchips (Ethernet und WLAN) für Fernzugriff auf BIOS-Setup und grafischen Desktop (Remote KVM), vermarket Intel als vPRO-Bürocomputer. Sie haben "Q"-Chipsätze wie Q57, Q67, Q77, Q87, Q170 und Q270. Einfachere ME-Versionen laufen in Q65, B65, Q75, B75, Q85, B85, Q150, B150, Q250 und B250.
 
Zuletzt bearbeitet:
Laut heise sollen ja erst die core i Modelle Betroffen sein.

Werden ältere Systeme hier einfach als unrelevant angesehen, oder sind diese wirklich nicht betroffen.

Habe auf meinem T400 eine Intel AMT 4.2.0.1020
Laut Heise Artikel:
Betroffen sein können Systeme mit Core i7, Core i5, Core i3, Xeon, Pentium und Celeron, die seit 2010 auf den Markt kamen. Die Lücke klafft in den Firmwares für die AMT-Typen ab Version 6.

Edit:
Threads zusammen geführt
 
Zuletzt bearbeitet:
Die Überschrift von think_pad wäre für den Thread imho aber aussagekräftiger. Vielleicht kann das ein Mod ja noch anpassen... :)
 
Angriff
Bei den ME-Funktionsvarianten "Active Management Technology" (AMT) und "Intel Standard Manageability" (ISM) können Angreifer via Netzwerk höhere Zugriffsrechte erlangen, sofern diese Fernwartungsfunktionen auch eingeschaltet und eingerichtet (provisioned) sind.

Damit dürften die meisten hier nicht betroffen sein... ;)
 
Unter dem Punkt "Security" -> "Intel AMT" (oder ähnlich). Dort lässt sich einstellen, ob AMT aktiviert, deaktiviert oder unwiderruflich deaktiviert werden soll.

LG Uwe

Leider nicht.

Permanent deaktiviert werden kann Intel Antitheft (AT). Bei AMT geht es in (einigen ?) Thinkpad-BIOS sogar so verwirrend zu, das durch die Option "Config > Intel AMT > Intel AMT Control" im Zustand "Disabled" AMT eben nicht deaktiviert, sondern auf bekannte Standardwerte zurückgesetzt wird.

Gab es hier (min.) eine Diskussion zu: https://thinkpad-forum.de/threads/189807-Intel-AMT-auf-T420-vollständig-deaktivieren

Grüße, pepun.
 
Zuletzt bearbeitet:
Vielleicht noch mal zusammengefasst: das Problem kann aus dem Netzwerk nur ausgenutzt werden, wenn AMT auch aktiv und konfiguriert ist. Das ist im Normalfall nicht der Fall. Ob es das ist, lässt sich überprüfen, indem man im Browser auf http://localhost:16992 zugreift. Lauscht dort ein Webserver, ist AMT aktiv und bei entsprechend alter Firmware angreifbar.

Ist AMT aktiv, aber nicht konfiguriert, lässt sich trotzdem lokal (!) der Intel LMS Dienst ausnutzen, um eine Rechteerweiterung zu erreichen. Das lässt sich umgehen, indem man, wie oben ja schon empfohlen wurde, den LMS Dienst löscht und danach auch dessen Programmdateien. Man muss den Dienst übrigens nicht vorher deaktivieren, wenn man ihn eh löscht. ;-)

Eine wirkliche Gefahr ist die ganze Sache also in verwalteten Umgebungen, wo AMT auch tatsächlich genutzt wird.
 
Hallo,

lt. Update bei Heise wird Lenovo BIOS-Updates selbst für die X20-Generation veröffentlichen(https://support.lenovo.com/de/en/product_security/len-14963)

Dann hoffen wir mal, dass die Bios-Modder von dieser Version auch eine non-Whitelist + Advanced Menus + unlock RAM-Speed Variante basteln können. Auch wenn ich AMT nicht benutze, wäre mir ein aktuelles, gefixtes Bios lieber. Auf die Vorzüge einer gemoddeten Version möchte ich allerdings nicht verzichten.
 
Hurra, werde wohl also das Wochenende darauf verschwenden das Internet zu durchforsten, ob die Lücke auch unter Linux ausnutzbar ist, statt auf den Jahrmarkt zu gehen. Für mein T510 kommt nämlich sicherlich kein Update mehr :(

- - - Beitrag zusammengeführt - - -

hier mal noch ein zusammenfassender Artikel der c't mit Praxistipps.
Werde mir wohl erstmal anlesen wie man einen Portscan durchführt und dann das Heimnetzwerk abklopfen :)

schönes WE euch allen
 
Wenn du AMT nicht aktiviert hast und da es unter Linux den LMS Dienst nicht gibt, solltest du da kein Problem haben.

Solange du auf deinen Geräten nicht AMT aktiviert und eingerichtet hast, ist auch der Portscan im Heimnetz notwendig. Von alleine aktiviert sich das nicht.

Sinnvoller als ein Portscan wäre z.B. der Einsatz von Nessus. Auch die kostenlose Home Version erkennt mit den aktuellen Plugins die AMT Probleme und meldet entsprechende Hinweise.
https://www.tenable.com/products/nessus-vulnerability-scanner
 
Ich denke mal das ist nur die Spitze des Eisbergs, trotzdem Respekt dass Lenovo auch für ältere Thinkpads ein BIOS-Update rausbringen will.

Man muss sich trotzdem darüber im Klaren sein, dass auch nach Deaktivierung im BIOS die ME weiterhin aktiv bleibt. Man kann zwar versuchen mittels me_cleaner Teile davon zu entfernen, was danach aber übrig bleibt und ob man nicht ein noch größeres Loch aufreißt weiß man leider nicht.
 
Solange du auf deinen Geräten nicht AMT aktiviert und eingerichtet hast, ist auch der Portscan im Heimnetz notwendig. Von alleine aktiviert sich das nicht.

OT: Gibt es denn irgendwo eine sinnvolle Anleitung, was ein interessierter Freizeit-Admin mit AMT anstellen könnte und wie man es denn, wenn mal will, einrichtet und benutzt? Das wäre ja viel spannender, als einen Fehler zu fixen, der niemals auftritt...

Ich denke mal das ist nur die Spitze des Eisbergs, trotzdem Respekt dass Lenovo auch für ältere Thinkpads ein BIOS-Update rausbringen will.

Das hat mit Respekt nichts zu tun: Das sind knallharte, juristische Vorgaben, wenn ein Laptop-Produzent Business-Laptops ausliefert, dass dann die Fehler geflickt werden, die mit der Administration auftreten können. Das ist vergleichbar mit Rückrufaktionen, bei denen sicherheitshalber die Handbremse oder der Airbag ausgestauscht werden, weil die möglichen Schadensersatzansprüche teurer sind, als die Kosten der Rückrufaktion.
 
Zuletzt bearbeitet:
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben