Intel ME-Sicherheitslücke (aus: evtl. Sicherheitslücke in Intel CPUs)

[Helios]

Updates für die ME-Lücke stellt Lenovo doch zur Verfügung. Auch für die *20-Modelle.

Vor nicht allzu langer Zeit hatte ich mein W520 aktualisiert.

 

[Cyrix]

Das ist ja Lustig, auf meinem T420 und X220 läuft ebenfalls die gleiche Management Version wie auf dem W520 und dort gibt es keine Sicherheitslücke mehr...



Ich verwende auf alles Geräten einen Bios-Mod mit Advanced-Menu.

EDIT:

Ursache war, dass ich beim W520 SOL und KVM im MEBX aktiviert hatte.:facepalm:

Jetzt deaktiviert und damit alles sicher...




Grüße
Cyrix

 

[Helios]

Aha, gut zu wissen. Die Einstellungen hatte ich bereits im Advanced Menu deaktiviert.


LG Uwe


Korrektur: Habe Anti-Theft permant deaktiviert. Dann erscheinen auch die Einträge im MEBX nicht mehr. Liegt dann wohl daran, dass ich nach dem ME-Update stets geschützt war.

 

[Volvo-Berti]

da schaue ich heute Abend auch mal rein, obwohl ja mein System als sicher gemeldet wurde. ich habe nämlich auch das mod BIOS drauf.
wirds nach dem (hoffentlich noch kommenden) Update zu Spectre wieder ein mod. BIOS geben?

 

[felix1]

Mein X220 läuft mit 7.1.92.3273, diese Version bietet Lenovo jedoch leider nicht an, Zitat:

Intel's updated advisory now includes Intel ME 6.x and 7.x. However, there is no fix released by Intel due to end of support.

Quelle

 

[Helios]

Für das X220 bietet Lenovo die Version 7.1.91.3272 an.

Ist auch die offizielle Version, welche von Intel zur Verfügung steht.

Lenovo - Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Remote Privilege Escalation

 

[felix1]

Ist auch die offizielle Version, welche von Intel zur Verfügung steht.

Die Seite wurde zuletzt am 01.12.2017 aktualisiert, Firmware 7.1.92.3273 stammt aber vom 07.12.2017

Quelle

 

[Helios]

Aha. Und wenn du das Intel-SA-00086 Detection Tool laufen lässt, welches Ergebnis erhältst du?

Intel-SA-00086 Detection Tool

 

[ThinkX]

@Helios: Das verlinkte Update für's X220 ist doch gar vom Mai?

 

[Cyrix]

Mit dem Datum aktualisieren hats Lenovo nicht so...

 

[felix1]

In diesem Fall ist das Datum korrekt, Firmware 7.1.91.3272 stammt aus Mai 2017.

 

[Helios]

Firmware 7.1.91.3272 ist allerdings sicher und nicht angreifbar, gemäss dem Intel Prüftool.

 

[Helios]

Mit dem aktuellen Intel Prüftool sieht die Sache nicht mehr gut aus, sprich angreifbar.

https://thinkpad-forum.de/threads/141855-Interessante-Tools-und-Programme?p=2131780&viewfull=1#post2131780

 

[Cyrix]

Kann ich so nicht bestätigen, meine Geräte (siehe obige Posts) sind mit der Intel-SA Version 1.1.169.0 weiterhin als "sicher" markiert.

Grüße
Cyrix

 

[Helios]

Ha... habe das BIOS auf default zurückgestellt und danach meine individuellen Anpassungen gemacht und jetzt zeigt die Version 1.1.169.0 ebenfalls an, dass alles sicher sei.

Wieso auch immer...? Aber passt .


LG Uwe

 

[Helios]

Und täglich grüsst das Murmeltier...


Heise: Intel-Prozessoren: Management Engine (ME) über Netzwerk angreifbar

Erneut klaffen Lücken in der kritischen Management Engine der Intel-Prozessoren. Betroffen sind viele Generationen, abgesichert werden nur die jüngeren (ab der 4. Generation und aktueller)

Intel Q1’18 Intel® Active Management Technology 9.x/10.x/11.x Security Review Cumulative Update
Intel® Converged Security Management Engine (Intel® CSME) 11.x issue


LG Uwe

 

[bender79]

Hallo,

Wie gestaltet dass sich eigentlich, wenn Sicherheitslücken in der Hardware nicht mehr gestopft werden, die Geräte aber noch in der Lenovo Garantie sind?

grüße

 

[cnrhkiyf]

Kurz: Pech! Kannst dich bei der Politik bedanken, dass Hersteller für sowas nicht haftbar gemacht werden können. Bzw. zahlen sie dann evtl. irgendeine "Strafe" (wobei in dem Bereich nichtmal das wahrscheinlich ist), du als Kunde bekommst aber natürlich nichts.

 

[Helios]

Mittels vorgeschalteter (Hardware) Firewall folgende Ports schliessen, sowohl TCP als auch UDP: 16992-16995, 623, 664, 5900 (siehe: Intel® AMT Implementation and Reference Guide - Manageability Ports).

Müsste dann wohl auch klappen, da AMT von aussen nicht mehr erreichbar ist.




LG Uwe

 

[Helios]

Das Intel-SA-00086 Detection Tool steht in der Version 1.2.007.0 zum Bezug bereit.

Note: Versions of the INTEL-SA-00086 Detection Tool earlier than 1.0.0.146 did not check for CVE-2017-5711 and CVE-2017-5712. These CVE's only affect systems with Intel® Active Management Technology (Intel® AMT) version 8.x-10.x. Users of systems with Intel AMT 8.x-10.x are encouraged to install version 1.0.0.146, or later, to help verify the status of their system in regards to the INTEL-SA-00086 Security Advisory.

LG Uwe