Sicherheitslücke in Intel AMT - Radikale Kurzanleitung zum Test und evtl. Abschalten

D

deckel

New member
Themenstarter
Registriert
8 Jan. 2016
Beiträge
494
Ich verweise mal auf heise ...

Leider gibt es (wie so oft) nur Informationen zu Windows.

Wenn jemand noch Informationen bezüglich der Deaktivierung von ME hat wären die sicher gerne gesehen :)
 
Zuletzt bearbeitet von einem Moderator:
think_pad schrieb:
Das hat mit Respekt nichts zu tun: Das sind knallharte, juristische Vorgaben, wenn ein Laptop-Produzent Business-Laptops ausliefert, dass dann die Fehler geflickt werden, die mit der Administration auftreten können. Das ist vergleichbar mit Rückrufaktionen, bei denen sicherheitshalber die Handbremse oder der Airbag ausgestaucht werden, weil die möglichen Schadensersatzansprüche teurer sind, als die Kosten der Rückrufaktion.
Zum Vergrößern anklicken....

Würd ich auch so sehen. Bis zu welcher Generation will Lenovo Updates für das Problem anbieten? Bis zur xx20er. Die liegt ca. 5 Jahre zurück. Wie lang ist die normalerweise bei Lenovo erhältliche (inkl. Zukaufoption) Höchst-Garantiedauer? Genau: 5 Jahre. Für alle älteren Geräte, die nicht mehr in die Garantielaufzeit fallen, sagt sich Lenovo "so what". Das hat tatsächlich nichts mit Respekt zu tun, das ist das, was man zumindest erwarten darf.
 
Naja, schaut euch mal die anderen Hersteller an, für welche Boards es da Updates geben wird. Aber ich stimme euch zu, es wird wohl an den 5 Jahren Garantiedauer liegen. Das erklärt wohl auch, warum es Lenovo für die betroffene erste Core-i-Generation (X201, T410 usw.) nicht angekündigt hat...
 
Naja, man kann es im BIOS aktivieren, dann im ME BIOS ein Passwort setzen und danach über http://localhost:16992 drauf zugreifen und schauen, was das jeweilige Gerät so kann. Das kann von einfacher Fernwartung mit Remote-Power-On bis hin zu kompletten Remote-Management inkl. KVM-over-IP so ziemlich alle sein, je nach Modell und Generation.
Eine fertige Anleitung hab ich grad nicht parat, findet sich im Netz aber sicherlich.
Im Firmenumfeld wird die Sache dann halt zertifikatsbasiert konfiguriert, wenn man es nutzen will.
 
der_ingo schrieb:
Naja, man kann es im BIOS aktivieren, dann im ME BIOS ein Passwort setzen und danach über http://localhost:16992 drauf zugreifen
Zum Vergrößern anklicken....

Genau das funktioniert bei mir nicht - X220 - i5-2520M - Debian 9 :confused: Werde heute abend mal versuchen, mit einem anderen Rechner im Netzwerk darauf zuzugreifen.

Irgendwie ist auch blöd: Nach der Meldung von 2015 (https://www.cert-bund.de/advisoryshort/CB-K15-1256) schien es besser, AMT zu aktivieren, ein Passwort zu setzen und in der Konsole soweit möglich alles zu deaktivieren. Das Thema wurde nie behoben, aber nun im Angesicht einer anderen (kritischeren ?) Lücke soll man das Ganze im BIOS wieder deaktivieren - was bei Lenovo ja dann eben keine Deaktivierung ist.
 
Schonmal verucht AMT über MEBX zu deaktivieren beim X220?
Vorgang hatte ich damals in einem anderen Thread schon mal beschrieben.

Im BIOS muss AMT aktiviert werden, da es sonst mit den Standardeinstellung läuft. Beim Booten "Ctrl+p" drücken, dann mit "1" bestätigen um ins MEBX zu kommen und mit Passwort "admin" einloggen. Das neue Passwort muss dann aus Zahlen, Großbuchstaben und Kleinbuchstaben sowie Sonderzeichen bestehen. Im Anschluss unter "Feature Selection" auf "disabled" stellen, das Menü verlassen und den Reboot bestätigen. Im Anschluss sollte AMT und das SOL-Interface im Windows Gerätemanager verschwunden sein. Das gleiche klappt auch beim T420 und T520 :-)

Wer ein Mod Bios verwendet kann die AMT Feature auch gleich dort killen :-)

Beste Grüße
Cyrix
 
Cyrix schrieb:
Schonmal verucht AMT über MEBX zu deaktivieren beim X220?
Vorgang hatte ich damals in einem anderen Thread schon mal beschrieben.

Im BIOS muss AMT aktiviert werden, da es sonst mit den Standardeinstellung läuft. Beim Booten "Ctrl+p" drücken, dann mit "1" bestätigen um ins MEBX zu kommen und mit Passwort "admin" einloggen. Das neue Passwort muss dann aus Zahlen, Großbuchstaben und Kleinbuchstaben sowie Sonderzeichen bestehen. Im Anschluss unter "Feature Selection" auf "disabled" stellen, das Menü verlassen und den Reboot bestätigen. Im Anschluss sollte AMT und das SOL-Interface im Windows Gerätemanager verschwunden sein. Das gleiche klappt auch beim T420 und T520 :-)

Wer ein Mod Bios verwendet kann die AMT Feature auch gleich dort killen :-)

Beste Grüße
Cyrix
Zum Vergrößern anklicken....


Ups das muß ich am T440s auch mal probieren - die Informationslage ist ja recht dürftig.

Der Bug hat es anscheinend richtig in sich:

https://blog.fefe.de/?ts=a7f0da50


"memcmp(attacker_password, correct_password, strlen(attacker_password))"
 
Cyrix schrieb:
Wer ein Mod Bios verwendet kann die AMT Feature auch gleich dort killen :-)
Zum Vergrößern anklicken....

Auf meinem X220 läuft das Mod-Bios mit Advanced-Menü - killen kann ich hier aber nix. Es gibt einen Punkt "ME Configuration > Intel ME" - dieser ist auf "Enabled" - jedoch nicht änderbar.

Bei "AMT Configuration > Intel AMT" ist zwar der Wert "disabled" möglich, aber auch dort steht: "iAMT H/W is always enabled" - also das gleiche wie in der normalen Menü-Option "Config > Intel AMT".

Bleibt wohl nur der Weg über die MEBX.

Grüße, pepun.
 
think_pad schrieb:
Das hat mit Respekt nichts zu tun: Das sind knallharte, juristische Vorgaben
Zum Vergrößern anklicken....

This! Respekt hätte ich wenn sie das auf allen betroffenen Generationen fixen.
Oder ein Feature einführen, dass sich AMT wirklich deaktivieren lässt, falls es der Kunde eben nicht will.

Das Problem ist wohl, wenn ich das richtig verstanden habe, dass man einfach einen Request mit leerem Passwort schicken kann und AMT das ganze schluckt, wenn man den Anwendernamen erraten hat, für den es sicher einen Standard gibt (z.B. admin oder so).

Und ja zur Zeit scheint die Lücke nur unter Windows ausgenutzt zu werden (bzw ausnutzbar zu sein), aber seien wir doch mal ehrlich, diese Lücke ist so zu kotzen, dass sich die Leute massiv anstrengen werden sie unter Linux auszunutzen, einfach weil so viele Infrastruktur auf entsprechender Hardware läuft.

Wäre natürlich interessant ob das Belassen im unkonfigurierten Zustand oder das Anlegen eines Nutzers mit möglichst schwer zu knackendem Nutzernamen sicherer ist.
Habe gestern mal im Heimnetz mein X201 (dürfte default settings haben) mit nmap gescannt und auf den ports 16992 und 16993 wurden Intel AMT Services gefunden. Zum Webserver verbinden (per IP über den Browser, wie es von der c't gezeigt wurde ging allerdings nicht).
Werde heute Abend mal testen wie das ganze mit deaktivierten iptables (auf dem X201) aussieht, der Gedanke kam mir heute Morgen noch.
 
Zuletzt bearbeitet:
Ich habe den Kommentar gefunden, wo ich für das X61, T400, X201, T420 und X220 beschrieben habe wie man AMT deaktiviert: https://thinkpad-forum.de/threads/189807?p=1931595&viewfull=1#post1931595

Wenn man ein Mod-Bios mit Advanced Menu verwendet und die Einstellung in mebx bereits vorgenommen hat, sollte man sich um einige kritische Feature-Einstellungen im Bios kümmern:
Advanced -> AMT Configuration
-> Intel AMT SPI Protected: Enabled
-> Intel AMT Passwort Write: Disabled
-> Active Remote Assisctance Process: Disabled
-> UN-Configure ME: Disabled
-> MEBx Debug MEssage output: Disabled
-> MEBx Verbose Output: Disabled
-> USB-Provision: Disabled
-> PET Progress: Enabled
-> Watchdog: Disabled
-> USB-R: Disabled
 
Zuletzt bearbeitet:
deckel schrieb:
Habe gestern mal im Heimnetz mein X201 (dürfte default settings haben) mit nmap gescannt
Zum Vergrößern anklicken....
Das X201 gehört überhaupt nicht zu den betroffenen Geräten. Das X201 hat noch ME5, während die Sicherheitslücke bei ME 6.x bis 11.6.x auftaucht.
Zudem sind auch nur Geräte betroffen, die AMT aktiviert und konfiguriert haben.
 
@ingo:
Ah danke, die Info konnte ich bisher noch nicht finden. Hatte nur in einem Artikel gelesen, dass alle Prozessoren ab den i-Dingern mit gewissen Firmware Versionen angreifbar sein sollen und habe mir gedacht ich schaue mal ob ich was finden kann, bevor ich ein Windows neu aufsetze um mit dem Intel Tool die Firmware auszulesen.

Wo kann man denn diese Information (ME-Version der versch. Modelle) finden?
 
der_ingo schrieb:
Das X201 gehört überhaupt nicht zu den betroffenen Geräten. Das X201 hat noch ME5, während die Sicherheitslücke bei ME 6.x bis 11.6.x auftaucht.
Zum Vergrößern anklicken....

Cyrix schrieb:
Liste der laut Lenovo betroffenen Thinkpads, das X201 ist nicht dabei :-)
https://support.lenovo.com/de/de/product_security/len-14963#ThinkPad
Zum Vergrößern anklicken....

Das X201 verwendet ME 6.x und gehört somit sehr wohl zu den betroffenen Geräten, Lenovo listet jedoch ausschließlich ThinkPads, die noch Garantie haben könnten ;)
 
Aaargh...

werde wohl doch dieses verdammte Tool von Intel downloaden und ein Windows installieren müssen *würg*
 
deckel schrieb:
werde wohl doch dieses verdammte Tool von Intel downloaden und ein Windows installieren müssen *würg*
Zum Vergrößern anklicken....
Warum der Aufwand? Hast du AMT aktiviert und konfiguriert? Nein? Dann ist die Kiste nicht remote angreifbar. Hast du Windows? Nein? Dann ist die Kiste auch nicht lokal angreifbar. Wurde doch alles im Thread schon geschrieben...

- - - Beitrag zusammengeführt - - -

felix1 schrieb:
Das X201 verwendet ME 6.x und gehört somit sehr wohl zu den betroffenen Geräten, Lenovo listet jedoch ausschließlich ThinkPads, die noch Garantie haben könnten ;)
Zum Vergrößern anklicken....
Stimmt, mein Irrtum. Bin im Namensschema verrutscht. Das X201 müsste ja an sich X210 heißen und die x10er Serien haben ME 6.x.
 
Zuletzt bearbeitet:
Sehe ich das richtig, dass das hier beschriebene Problem nur dann auftreten kann, wenn man eine CPU mit vPro besitzt?

Kein vPro = kein AMT, oder mache ich da einen Denkfehler?

Die Intel Core i3 und z.B. i5-*200U sollten dann doch nicht betroffen sein?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben