Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Intel patcht lekken in Management Engine op verschillende processors

Intel heeft een beveiligingswaarschuwing gepubliceerd waarin de chipmaker ingaat op kwetsbaarheden in onder meer zijn Management Engine vanaf versie 11. Een aanvaller kan de lekken misbruiken om code uit te voeren zonder dat gebruikers dit merken.

De lekken komen buiten de Management Engine ook voor in Intels Server Platform Services en Trusted Execution Engine, waarschuwt het bedrijf. Core-processors vanaf de Skylake-generatie zijn getroffen, samen met Xeon-, Atom- en Celeron-cpu's. Het gaat om vier lekken in de Management Engine vanaf versie 11, waarvan CVE-2017-5705 de hoogste risicoscore van heeft gekregen. Dit lek laat een lokale aanvaller willekeurige code uitvoeren door een buffer overflow. Een ander lek, CVE-2017-5712, is op afstand te gebruiken om code uit te voeren, maar alleen door een aanvaller met beheerderstoegang. In totaal gaat het om tien kwetsbaarheden, waarvan de meeste lokale toegang vereisen.

Volgens Google-beveiligingsonderzoeker Matthew Garrett is het op basis van de informatie die Intel heeft gepubliceerd niet goed in te schatten wat de ernst van de lekken is. Volgens Intel kunnen de lekken gevolgen hebben voor pc's, servers en internet-of-things-apparaten. De chipmaker publiceert een overzicht van softwareversies waarin de lekken zijn opgeheven. Daarnaast heeft het bedrijf een detectietool voor Windows- en Linux-gebruikers gepubliceerd, waarmee gebruikers kunnen nagaan of ze kwetsbaar zijn. Volgens het overzicht van Intel heeft Lenovo inmiddels patches beschikbaar.

Intel schrijft de ontdekking van de lekken toe aan eigen analyse naar aanleiding van onderzoek van het bedrijf Positive Technologies, dat zich al langer bezighoudt met onderzoek naar de Management Engine. Onderzoekers van het bedrijf zijn van plan om op een beveiligingsconferentie in december een aanval te demonstreren, waarbij ze ongesigneerde code draaien op de de Platform Controller Hub op elk moederbord dat Skylake of later ondersteunt. Daarbij blijft het systeem stabiel, waardoor een doelwit niets hoeft te merken. Malware die deze techniek toepast, kan blijven bestaan ondanks herinstallaties of bios-updates.

De Intel Management Engine is een aparte microcontroller die deel uitmaakt van de Platform Controller Hub, oftewel pch, van Intel-cpu's, die toegang heeft tot de communicatie tussen cpu en randapparaten. Deze aparte processor werkt los van de cpu zelf en is daarom toegankelijk als de cpu zelf is uitgeschakeld. Als kwaadwillenden toegang krijgen tot de Management Engine, betekent dit volgens de onderzoekers dat een systeem volledig overgenomen kan worden. Het bleek dat de engine op Minix draait. Google werkt aan het inperken van de functionaliteit van de Management Engine, die door critici ook wel als 'backdoor' wordt omschreven.

Door

Nieuwsredacteur

134 Linkedin Google+

Reacties (134)

Wijzig sortering
Het wordt tijd dat Intel onder druk gezet wordt om de eindgebruiker de mogelijkheid te geven deze management engine uit te schakelen. Er komen steeds meer barsten in de beveiliging ervan en het is dan ook een kwestie van tijd voordat we volop malware gaan zien die deze engine gaat misbruiken.
Volop kan ik nog niet zeggen, maar het concept is niet nieuw.
In het geval van de link valt het gelukkig nog mee en wordt Intel ME enkel gebruikt als bypass op de firewall en netwerk lagen van het OS. Maar ik kan mij zo indenken dat er uiteindelijk een trojan komt die zich weet te nestelen in de Intel ME zelf, dan kun je herinstalleren wat je wilt voor je als eindgebruiker door hebt dat je een rootkit in je CPU hebt zitten die continu andere malware download ben je al aardig wat support kosten verder.
Kleine correctie: de Management Engine zit voor zover ik weet in de chipset, dus in het moederbord.

[Reactie gewijzigd door Cerberus_tm op 21 november 2017 16:12]

In sommige gevallen wordt de ME ook gebruikt voor TPM functionaliteit voor bijvoorbeeld bitlocker. Dus als je de ME uitzet, vervalt ook je TPM en wordt je bitlocker encryptie onmogelijk of minder veilig of minder praktisch.
Heb je daar een bron van?
15 seconden Google geeft dit en dit:
Intel« PTT is a platform functionality for credential storage and key management used by Windows 8* and Windows« 10. Intel« PTT supports BitLocker* for hard drive encryption. The platform also supports all Microsoft requirements for firmware Trusted Platform Module (fTPM) 2.0.

Intel« PTT is an integrated solution in the Intel« Management Engine for 4th Generation Intel« Core™ processors with ultra-low TDP (Thermal Design Power) platforms and later.
Ik weet dat op bepaalde platformen de TPM 'in firmware' ge´mplementeerd wordt. Dit kan bijvoorbeeld in ME gedaan worden. In dit geval: (firmware) TPM is onderdeel van PTT, PTT is een onderdeel van ME.

[Reactie gewijzigd door The Zep Man op 21 november 2017 09:45]

Ik wilde vragen, mocht je iME kunnen uitzetten, en daarmee ook de fTPM, kun je dan nog een hTPM erbijzetten zodat je bitlocker met een TPM kan gebruiken? (Niet dat intel je hun ME zal willen laten uitzetten.)

Maar als je er even over nadenkt dan is een fTPM een compleet "defeats the purpose"-opzet. Tenminste, voor toepassingen als bitlocker. Voor DRM op je filmpjes gecontroleerd door grootbedrijven elders die ook even je hele rest van je computertje komen doorlichten met "remote attestation" is het niet zo'n probleem. Wat dat betreft past fTPM mooi in het iME plaatje. Maar het maakt "ja maar bitlocker" tot een non-argument, op veiligheidsgronden. Zowel fTMP als iME betekenen dat bitlocker nooit enige harde garantie kan geven.
Ik wilde vragen, mocht je iME kunnen uitzetten, en daarmee ook de fTPM, kun je dan nog een hTPM erbijzetten zodat je bitlocker met een TPM kan gebruiken? (Niet dat intel je hun ME zal willen laten uitzetten.)
Sommige systemen hebben een hardwarematige TPM 1.2 en een firmware TPM 2.0. In de BIOS/UEFI kan je schakelen tussen die twee (maar niet alle twee tegelijk). BitLocker werkt op beide, in ieder geval vanaf Windows 8 en nieuwer. Als de BIOS/UEFI code heeft om een hardware TPM in te schakelen, dan zou dat moeten blijven werken.

Een kenmerk van een TPM is dat het gekoppeld is aan het platform. Sommige moederborden hebben een TPM header waar je een TPM-bordje in kan stoppen. Deze zijn daarna wel aan het platform gekoppeld en merken (en slaan op/verwerken) dat de verbinding wordt verbroken, als het goed is (tamper resistant).
Zowel fTMP als iME betekenen dat bitlocker nooit enige harde garantie kan geven.
Een gewone TPM ook niet. Er zijn TPM aanvallen bekend waarbij de waardes van de PCR's gereset werden zonder de TPM uit te schakelen door met de stroomtoevoer te spelen. Ook kan je natuurlijk gewoon nog de master key uit het geheugen sniffen zodra deze ooit eens is geladen via elke interface die DMA biedt (Thunderbolt, ExpressCard, FireWire, PCIe...) of via malware. Allemaal aanvallen die bij kunnen dragen aan het compromitteren van BitLocker.

Niets is de ultieme beveiliging, en niets geeft garantie. VeraCrypt biedt afdoende garantie voor 'data at rest'. Het enige dat BitLocker doet is ook de bootloader onderdelen beveiligen tegen offline, fysieke aanvallen. Elke bootloader kan gespoofed worden. Nadat je je wachtwoord invult in een nep-maar-echt-uitziende bootloader kan het opgeslagen/geupload worden om later opgepikt te worden te worden door de aanvaller. Ja, je notebook werkt dan niet. Maar een aanvaller weet dan al voldoende (en kan mogelijk het boot medium vervangen hebben, dus heeft -en- de datadrager, -en- het wachtwoord).

Je kan natuurlijk ook BitLocker gebruiken zonder TPM via een USB stick die je altijd bij je draagt. Misschien iets veiliger voor sommige aanvallen, maar zoals ik al zei: niets geeft garantie. En als het een willekeurige geheime dienst/crimineel netwerk het te veel tijd/moeite kost dan zijn er altijd nog andere manieren om het systeem te kraken.

[Reactie gewijzigd door The Zep Man op 21 november 2017 18:18]

Kan de Twitter discussie niet meer vinden.
Ik denk dat degene die de ME niet vertrouwt, ook geen vertrouwen heeft in de TPM. Als hij toevallig toch encryptie van zijn schijf wil, dat is een zeer kleine groep computergebruikers, dan zal die persoon een encryptiemethode gebruiken die niet afhankelijk is van een TPM, zoals cryptoloop.
Of gewoon software implementatie, zoals in Truecrypt. Je kan Truecrypt ook de Intel AES instructie laten gebruiken in hardware, waardoor de snelheid dermate hoog is dat het niet storend of vertragend werkt.
Maak daar VeraCrypt van. TrueCrypt wordt niet langer ondersteund. Voor encryptie is het fijn om een ondersteund product te gebruiken, daarnaast zijn er zover ik weet een aantal bugs gefixt in VeraCrypt die TrueCrypt nog heeft.
En nu blijkt toch dat Minix niet zo veilig is als de Tanenbaum en de voorstanders van een microkernel ons doen willen geloven.
De makers van Minix hebben nooit de toepassing daarvan in de IME geanticipeerd en Intel heeft het gebruik daarvan bovendien ook niet aan hen gemeld; op grond van de licentie waren zij daartoe ook niet verplicht. De IME maakt ook gebruik van een oudere versie. (als je de bron hiervoor wilt weten moet je zelf even zoeken).
Kortom: schuif de makers van Mimix niet iets in de schoenen waarvoor zij geen verantwoording dragen.
Het idee van een microkernel is toch dat deze veilig is ook als er fouten in de code zitten? Anders kan je alles wel veilig maken (in theorie).
Je schiet door. Een micro kernel biedt een betere kans om (beveiligings)fouten te vermijden, dat is idd het idee. Maar dat wil nog niet zeggen dat een compleet OS (incl. user space apps) dat op een micro kernel is gebaseerd dus volstrekt veilig is, dat is te kort door de bocht.

Voor de toepassing in de IME heeft Intel ongetwijfeld nog het nodige aangepast en zal de user space ook niet echt standaard zijn. Tussen de releases van Mimix die de makers ervan uitbrengen en wat Intel op zijn IMEs zet bestaan ongetwijfeld grote verschillen. Intel openbaart de code van de IME echter niet, dus hoe en wat ze precies wijzigen blijft grotendeels gissen.

De releases pretenderen wel dat grote zorg is besteed aan correcte/veilige code, zeker de meest recente versies die uitgebreid geauditeerd zijn, maar niet dat de toepassing van die code onverkort veilig is. Bij het "inpassen" kun je bovendien nog heel veel verklooien.

[Reactie gewijzigd door Joep Lunaar op 21 november 2017 12:12]

Erhm, zat het lek niet in de webserver? Van die code die Intel geschreven heeft die onder de micro kernel draait?
Het wordt tijd dat Intel onder druk gezet wordt om de eindgebruiker de mogelijkheid te geven deze management engine uit te schakelen.
Die druk zou vanuit fabrikanten moeten komen. En fabrikanten gaan hier alleen om vragen/dit ondersteunen als hun klanten dat willen. Zie bijvoorbeeld Purism.
Er komen steeds meer barsten in de beveiliging ervan en het is dan ook een kwestie van tijd voordat we volop malware gaan zien die deze engine gaat misbruiken.
Bij informatiebeveiliging geldt 'less is more'. Gebruik je een systeem niet? Schakel het dan uit. Dus inderdaad, ook bij ME zou dit moeten kunnen.

Overigens geldt dit ook net zo hard voor AMD's PSP.

[Reactie gewijzigd door The Zep Man op 21 november 2017 08:15]

Hoe moet ik me dat voorstellen is het software dat deze chips nodig hebben om fatsoenlijk te kunnen draaien?Of is het een stukje software dat in windows geinstalleert is?
Het moet anders, we moeten van closed-source firmware af.
De eerste reden is dat we als gebruikers zo geen inzicht hebben in wat onze computers allemaal doen. Software met directe toegang tot de hardware, inclusief het netwerk, zou niet in een black-box moeten zitten waar je als gebruiker geen enkele controle over hebt.

De tweede reden is dat het ondersteuningsmodel niet werkt. Bij dit soort problemen moet iedere moederbordfabrikant zorgen voor een update voor ieder model dat ze gemaakt hebben, terwijl ze allemaal dezelfde chip gebruiken! Het gaat om tientallen fabrikanten die samen duizenden verschillende modellen moederbord hebben ontworpen. Het lijkt sprekend op de problemen met Android. Ook daar zijn we afhankelijk van de goede wil van een talloze fabrikanten die zelf nauwelijks belang hebben bij firmware-updates.
Back to basics dus...er is al langer sprake van een groeiende onvrede over de richting waarin de huidige tech giganten zijn gegaan. Raspberry Pi en soortgelijke apparatuur begint op dezelfde manier als AMD/Intel toendertijd deden tegen IBM, DEC en consorten.

Simpel en relatief basaal, maar je weet tenminste wel wat je in huis hebt gehaald.
De Raspberry Pi is afhankelijk van diverse proprietary closed-source frimware blobs voor de SoC van Broadcom en heeft dus hetzelfde probleem.
Je hebt helemaal gelijk. RaspberryPi is echter de meest bekende en was daarom vermeld. Het idee achter mijn post was meer dat we maar beter weer van kleins af aan gaan beginnen met fabrikanten die de gebruikers van hun hardware wel een warm(er) hart toedragen dan de huidige en vorige generaties van mainstream hardware fabrikanten.

Tegen de tijd dat de nieuwe lichting dezelfde nukken begint te vertonen dan de huidige, zijn we hopelijk toch al weer een jaartje of 25 verder en hebben we vast wel weer een nieuwe lichting die staat te trappelen om opnieuw de hardware markt open te breken.
We zullen niet snel van closed source firmware af geraken vrees ik. Er gaat te veel geld om in die wereld en door het vrijgeven van specs beperk je de mogelijkheden die hardwarefabrikanten hebben om productiegeheimen ook effectief geheim te houden.

Het is wel belangrijk dat mensen beter ge´nformeerd worden over wat hun nieuwe aankoop allemaal doet, welke functionaliteiten dat erop zitten en dat ze de kans krijgen om te zeggen: dat wil ik niet, dat moet uitgeschakeld kunnen worden. Als fabrikanten hier zelf niet aan mee willen werken moet er misschien daarvoor maar een wetgevend initiatief komen.
Zolang het niet te inspecteren is (zelf of door een door jou vertrouwde onstantie) is al die proprietary rotzooi niet vertrouwen punt.

Als Snowden iets heeft laten zien is het dat. Is het niet opzettelijk gebackdoored door de fabrikant, dan vind een geheime dienst wel een zero-day in je code en als dst teveel werk is wordt een ander stuk niet vrije software op jouw machine misbruikt.

Enige manier om hardware en software levernaciers naar een veilig en eerlijk business model te sturen is via open source software. Gewoon alles te inspecteren. Als bedrijf verdien je geld met diensten rondom software en hardware. Alleen tweakers willen alles kunnen instellen de rest van de wereld wil gewoon een werkend systeem en DAT is waar mensen voor betalen. Dus al zouden alle tech bedrijven vandaag nog alle ontwerpen op internet zetten, er zou geen Windows licentie of procesor minder door verkocht worden. Ze zouden wel na half jaar extreem veel beter beveiligd zijn omdat de bedrijven helemaal bedolven zouden worden met correcties door de tech community. Niet dat normale mensen daar dan ooit een bericht op het nos journaal over zouden zien laat staan begrijpen.
En dit is dus waarom intel ME zo scary is, closed source en blijkbaar slecht op vulnerabilities gecheckte code die met de hoogste privilleges draait.

[Reactie gewijzigd door Nycrea op 22 november 2017 12:15]

Betekent dit dat er flash geheugen en ruimte voor code op de processor zelf zit?
Het zit in de chipset die op je moederbord zit, en deze heeft volledige controle over je cpu.
Chipset? Volgens mij gewoon op de CPU die hoor. Dat maakt het nog veel erger. Je komt er niet vanaf.

Vroeger zat dit soort functionaliteit op een aparte chip op het moeder van bijvoorbeeld server. Die chip had dan zijn eigen ethernet aansluiting.

Maar Intel heeft in al haar wijsheid besloten dat integreren van deze functionaliteit op de cpu die veel handiger is... Not.
Dit is niet waar, het ME systeem zit gewoon in de chipset en niet in de die. https://en.m.wikipedia.org/wiki/Intel_Management_Engine
Bij computers is het qua niveaus precies andersom. Hoe lager het niveau, des te dichter je tegen de actuale hardware aan zit te werken en des te moeilijker alle software, draaiend op een hoger niveau, daar ook maar iets tegen kan doen.
Je snapt wat ik bedoel, maar ik heb de reactie voor jou aangepast naar hoogste privilleges.
Als je de wens hebt om in toekomst als dat mogelijk wordt de intel ME uit te schakelen, is het misschien niet handig om de patches nu al uit te voeren. Er is een redelijke kans dat deze exploits juist gebruikt zullen worden om het uitschakelen van de IME mogelijk te maken. Als er geen exploits meer te gebruiken zijn door de Google- en andere onderzoekers, zul je fysiek een externe flash programmer moeten aansluiten op je moederbord om de IME te reprogrammeren/uit te schakelen.

Zie ook:
https://news.ycombinator.com/item?id=15744898
En de rest van de discussie op Hacker News
https://news.ycombinator.com/item?id=15742287
Hoe kun je die patches dan tegenhouden? Gaan die die niet automatisch en buiten het besturingssysteem om?
Deze gaan niet automatisch, nee. Hiervoor brengt Intel een patch uit, die vervolgens door de moederbord/pc manufacturer ge´mplementeerd en gedistribueerd moet worden naar alle systemen. Dit gaat via de update software van deze manufacturing. Op het internet meldden al een aantal mensen dat ze hier van hun Lenovo en HP update programma's melding hadden gekregen.

Het gaat ongeveer hetzelfde als UEFI, dat waarschijnlijk ook zo lek als een mandje is en nauwelijks geŘpdatet wordt in de praktijk.
Ik had een goede referentie voor hoe het update proces van UEFI gaat, maar die kan ik even niet terug vinden.
A, okÚ, bij de drivers e.d. van het moederbord, die je dan gewoon kunt skippen.
Uitschakelen? welnee, liever een eigen open source ME installeren. Kun je misschien nog hele leuke dingen mee doen. :)

[Reactie gewijzigd door locke960 op 21 november 2017 20:50]

Een lijst of age/product range van de getroffen cpu's naast de core generatie zou wel prettig zijn bij zo een bericht. Welke Xeon, Atom en Celeron cpu's zijn lid van de skylake generatie bv. Ik kan niet 123 een lijst van ME 11 chips vinden.

[Reactie gewijzigd door Flaat op 21 november 2017 08:08]

Intel zegt zelf dit:

Affected products:


6th, 7th & 8th Generation Intel« Core™ Processor Family
Intel« Xeon« Processor E3-1200 v5 & v6 Product Family
Intel« Xeon« Processor Scalable Family
Intel« Xeon« Processor W Family
Intel« Atom« C3000 Processor Family
Apollo Lake Intel« Atom Processor E3900 series
Apollo Lake Intel« Pentium™
Celeron™ N and J series Processors
Based on the items identified through the comprehensive security review, an attacker could gain unauthorized access to platform, Intel« ME feature, and 3rd party secrets protected by the Intel« Management Engine (ME), Intel« Server Platform Service (SPS), or Intel« Trusted Execution Engine (TXE).

This includes scenarios where a successful attacker could:

Impersonate the ME/SPS/TXE, thereby impacting local security feature attestation validity.
Load and execute arbitrary code outside the visibility of the user and operating system.
Cause a system crash or system instability.
For more information, please see this Intel Support article

Bron: https://security-center.i...SA-00086&languageid=en-fr

[Reactie gewijzigd door T.Kreeftmeijer op 21 november 2017 08:13]

6th, 7th & 8th Generation Intel« Core™ Processor Family
Het blijft weer lekker vaag welke generatie welke is.
Zelfs Intel blijft er vaag over op haar website (of het is slecht geSEOt).

Is het dus tock Skylake met tick Kaby Lake, tock Haswell met tick Broadwell, tock Sandy Bridge met tick Ivy Bridge of doen tick Nehalem met tock Westmere en tock Core met tick Penryn ook nog mee?
Hoe bedoel je? 6e 7e en 8e generatie melden is een stuk makkelijker voor 99% van de mensen inplaats van Skylake, Kabylake en Coffeelake
En over het tick tock verhaal, dat is sinds kort verleden tijd.
Skylake is tock, Kabylake is tick & Coffeelake is dubbel tock?
Kijk naar het typenummer van je processor (bij de systeeminformatie in je OS): als het 6xxx, 7xxx, 8xxx is dan heb je dus een 6e / 7e / 8e generatie Intel Core processor. Wil je zelf checken of je systeem kwetsbaar is, download en draai dan het tooltje van Intel.

[Reactie gewijzigd door jj71 op 21 november 2017 14:17]

Bij mij geeft ie aan dat het systeem kwetsbaar is. Maar er is helaas geen update op de fabrikant site van mijn laptop.
Bij mij ook, en ik heb nog wel een systeem van Intel zelf (een Intel NUC). Ik ben bang dat er niets anders op zit dan afwachten tot de fabrikant van je systeem of moederbord een update uitbrengt.
Die vlieger gaat alleen niet op bij de Enthusiast platformen, want de beginnummers zijn niet gelijk zoals bij de mainstream processoren.
Alleen Lynnfield is dan ook een buitenbeentje want deze had 8xx processoren van de eerste generatie.

Bloomfield/Gulftown: X58 -> 1366 socket met 9xx (1st gen)
Sandy Bridge-E: X79 -> 2011 socket met 3xxx (2nd gen)
Ivy Bridge-E: X79 -> 2011 socket met 4xxx (3rd gen)
Haswell-E: X99 -> 2011-3 socket met 5xxxx (4th gen)
Broadwell-E: X99 -> 2011-3 socket met 6xxx (5th gen)

Skylake-X: x299 -> 2066 socket met 7xxx (6th gen)
Kaby Lake-X: x299 -> 2066 socket met 8xxx (7th gen)
Coffee Lake-X: ? -> ? socket met 9xxx (8th gen)

Zie ook: https://en.wikipedia.org/...l_Core_i7_microprocessors
Heel simpel. Is de chip van na 2009 en van Intel? Dan zit er (een vorm van) ME in.
Je kan in elk geval de detectietool draaien. Ben benieuwd wanneer er daadwerkelijk fixes voor uitkomen, vooral voor oudere apparatuur. Skylake is nu alweer wat ouder en ik neem aan dat dit vanuit de moederbord fabrikant moet gaan komen. En zelfs wanneer een fix uitgebracht wordt, hoeveel mensen gaan hiervan weten en de moeite nemen dit te updaten. :?

Mijn systeem met een 6700k is in elk geval kwetsbaar. :O Nog geen firmware/bios updates gezien op de website van MSI. Kan niet wachten tot het project van Google of een ander soortgelijk project de mogelijkheid geeft zoveel mogelijk van dit soort rommel uit te zetten.

Systeem binnenkort maar in de verkoop doen voor een Ryzen systeem :Y)
Systeem binnenkort maar in de verkoop doen voor een Ryzen systeem :Y)
Waar dan net iets andere rotzooi in zit, namelijk AMD PSP.
In elke x86 processor van na 2012 in ieder geval, zit gewoon een backdoor.
Ik zou het graag anders willen noemen, maar er is gewoon geen geldige reden dat dit in een CPU zit.
En daarom denk ik ook dat de NSA hier een hele grote rol in speelt. Anders hadden ze het ons wel uit laten zetten toch?
Kan niet wachten tot het project van Google of een ander soortgelijk project de mogelijkheid geeft zoveel mogelijk van dit soort rommel uit te zetten.
Ik ook niet!

edit: typo

[Reactie gewijzigd door dehardstyler op 21 november 2017 08:29]

Geen geldige reden zou ik niet willen zeggen, deze management engine is bijv. de basis voor Out-Of-Band management via bijv. Intel vPro en compatible producten. Nu zijn dit natuurlijk features die eigenlijk alleen zakelijk gebruikt worden, maar geen geldige reden zou ik toch echt niet willen zeggen. Al zou het fijn zijn een optie te hebben om het uit te schakelen uiteraard op devices die niet gemanaged gaan worden via zo'n oplossing.
Wij werken hier met 16.000 laptops, maar het wordt niet gebruikt...
In mijn ogen is dit zo'n op een stapling van rare keuzes, dat ik het gewoon niet kan vertrouwen.
Ken jij een bedrijf die op deze manier managed? Ik ben het nog nooit tegengekomen.
Wegen de "voordelen" ( dus wat bedrijven die het gebruiken ) op tegen de nadelen? ( de hele wereld zit met een potentiŰle backdoor op zijn computer )
Waar nu dus kritieke fouten in zitten, die moeilijk te patchen zijn. En dan moeten we nog maar zien dat iedereen zijn computer handmatig ( ! ) update. Dus een groot deel van de mensen met een vatbare laptop, blijft ook daadwerkelijk vatbaar. Ik snap ook niet dat Intel hier gezichtsverlies voor over heeft. En daarom denk ik dat de NSA een vinger in de pap heeft. Maar ik kan het uiteraard niet onderbouwen, het stinkt alleen zo erg, dat het wel lijkt alsof het zo is.
Ik kom het ook niet vaak tegen hoor, maar ik ken wel een paar bedrijven die bepaalde zaken managen via vPro i.c.m. SCCM. Handmatig updaten zal ook vast niet nodig zijn, iets als SCCM, PDQ zal deze updates vast kunnen deployen. En ik neem even aan dat wanneer je 16000 laptop in beheer hebt je in ieder geval enige mate van standaardisatie hanteert zodat je niet 16000 verschillende modellen hebt ;), maar enkel een aantal gestandaardiseerde series (al zullen dat er bij 16000 nog steeds wel een aantal zijn).
Beetje dom verwoord van mij. Wij overleven het natuurlijk wel. Maar ik bedoel de thuisgebruikers etc. Die komen er nooit achter dat hun PC geupdate moet worden. Moeten hun dan maar vatbaar zijn, omdat wat bedrijven willen managen? Lijkt mij niet. Maar dat is wel zo.
Die kans bestaat inderdaad (en lijkt mij zeer groot), geen idee of het mogelijk is voor vendoren om deze update via bijv. Microsoft update te pushen, dat zou natuurlijk in veel gevallen al helpen. Maar in de basis zou dit gewoon uitschakelbaar moeten zijn imho, zodat je het aanzet wanneer je het daadwerkelijk wil gaan gebruiken, al weet ik niet of bijv. bepaalde security features in moderne cpu's ook afhankelijk zijn van de ME (of AMD variant) en dat deze daarom always on is. Zo zie ik bijv. dat in bepaalde systemen de ME ook de TPM functionaliteit aanbied.

[Reactie gewijzigd door Dennism op 21 november 2017 10:02]

Via het OS pushen daar gaat MS niet mee akkoord gaan. Alles wat met Windows te maken heeft wel, maar het updateprocess voor firmware daar hebben ze geen controle over. Stel dat het dan mis loopt dan ziet de wereld alleen maar dat "de windows update" hun pc stuk maakt. Als ik MS was dan nam ik dit risico niet en liet ik Intel self hun brand blussen.
Ookal heeft AMD PSP, er zit nog echt wel een verschil tussen een processor kopen waarbij het systeem gekraakt is en een processor kopen die (voor nu) 100% veilig is. Een van de bedoelingen van PSP en IME is extra veiligheid, wat het ook leverd (Natuurlijk wat minder als het gekraakt word... Echter moet de persoon nogsteeds fysiek toegang hebben tot je systeem met een usb stick).

Rotzooi is het niet
Oke, op welke manier wordt mijn computer veiliger van Intel ME en AMD PSP?
AMD PSP:
https://www.amd.com/en-us...are-technologies/security

Intel IME is inderdaad niet veel over te vinden over security, dit legt wel uit waarom je het niet uit kunt zetten:

The main component of Management Engine interface, ME performs a number of tasks in conditions when the system is running or in sleep mode. It also supports several tasks during the boot process. This sub-system is required for proper functioning and maximum efficiency of the PC. The interface checks whether the system is working properly or not while communicating with the operating system of PC.
Je hebt gelijk dat AMD met PSP ook niet heilig is. Wat ik mij echter afvraag is hoe zij dat geimplementeerd hebben. Dus op een veiligere manier dan Intel, of met een gelijkwaardige shitty implementatie zoals Intel?

In dat laatste geval mogen ze van mij ook naakt over een ton gebonden van een rotsachtige heuvel af rollen. Naast hun Intel "bondgenoten" (en je de pun is intended). Ben ik dan gemeen om te zeggen dat ik geinteresseerd ben wie als eerste aan de bodem van de heuvel ligt?

Nu ben ik zowiezo niet gecharmeerd van dit soort functionaliteiten in duurbetaalde hardware, maar Intel kan zich nu al een flinke pot zitten schamen voor hun knullige aanpak om er zichzelf zo goedkoop mogelijk vanaf te maken.

En ik hoop dat de door hen verkregen woekerwinsten flink verdampen, zodat het ook echt gevolgen heeft voor de verantwoordelijke beslissingsnemers.
Fijne detectietool ook. Ik draai het op een paar van m'n systemen en per ongeluk ook op een AMD systeem:

INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128
Scan date: 2017-11-21 07:52:08 GMT

*** Host Computer Information ***
Manufacturer: HP
Model: ProLiant MicroServer
Processor Name: AMD Turion(tm) II Neo N54L Dual-Core Processor
OS Version: debian 9.2 (4.9.0-4-amd64)

*** Risk Assessment ***
Detection Error: This system may be vulnerable, please install the Intel(R) MEI/TXEI driver (available from your system manufacturer).
De tool zegt hier alleen "Yo ik ben er niet zeker van, jouw systeem kan kwetsbaar zijn maar installeer ff de drivers zodat ik het kan checken." Er staat niet dat jouw systeem ook echt kwetsbaar is.
Dat snap ik; maar ik had in het python scriptje op z'n minst verwacht dat er wel een check zou plaatsvinden of de gerapporteerde processor wel een Intel is.
Waarom?
Intel controleerd of het systeem veilig is, en toevallig geeft AMD niet de juiste antwoorden op deze checks.

Dan is het marketing technisch toch beter om te zeggen dat het systeem onveilig is, dan om te zeggen dat je het niet weet of dat je concurent het beter op orde heeft?
Het concrete advies is om een Intel driver te installeren, op je AMD systeem 8)7

Toegegeven, het echte PEBKAC.
AMD heeft een soortgelijk systeem, dus snel wisselen is misschien niet het antwoord.
Core-processors vanaf de Skylake-generatie zijn getroffen, samen met Xeon-, Atom- en Celeron-cpu's.
Leuk zo'n detectietool, maar zet er dan ook een link bij naar de patch toe.
De patch moet juist van de OEM's komen - en het lijkt me voor Tweakers een no go om van ieder stukje post-Skylake hardware een firmware update in een lijst te zetten.

HP lijkt het in ieder geval goed geregeld te hebben voor zBooks en EliteBooks.
He? Dat is een update van 16-11, terwijl Intel pas rept over SA-00086 op 20-11

HP weet dus veel eerder van een bug dan dat Intel aan de rest van de wereld openbaart.
Rara politiepetje.
Waarom raar? Vindt het niet meer dan normaal dat fabrikanten eerder op de hoogte zijn zodat ze aan de slag kunnen.

Exact hetzelfde als software bugs. Je meldt het aan de ontwikkelaar die eerste de kans krijgt het op te lossen vooraleer je het nieuws op de wereld los laat.
Dit ja. Microsoft maakt ook pas een lek openbaar zodra ze het gedicht hebben - datzelfde geldt hier.
Niet alleen Microsoft en Intel (in dit geval). Bijna alle bug bounty programma's werken op die manier. Bekendste zal het Google bounty programma zijn, dat al meerdere keren op deze site in het nieuws kwam.Dacht dat het daar een termijn van drie* (of zes) maanden was. Een ontwikkelaar heeft drie* (of zes) maanden te tijd om iets op te lossen. Opgelost of niet, na die termijn wordt alles publiek gemaakt.

* : weet niet meer uit het hoofd hoe lang de termijn is
Daarmee ontnemen ze mij het recht om te klagen op de HP website, dat er nog geen patch is! :( ;)

Ik voel me net een anti-piet demonstrant die op de snelweg wordt tegengehouden :X
Sorry ik heb het ook niet over Tweakers, maar intel. Intel geeft wel aan dat mijn systeem vulnerable, maar op de site vind ik geen download link of iets om het op te lossen.
Omdat het aan de OEM's is om op te lossen.
De patch moet komen van de product fabrikant (bijv. de moederbord fabrikant) of bijv. HP/Dell bij een volledig systeem. Er zal dus niet "1 linkje" naar de patch zijn.
Maar mijne heb ik zelf in elkaar geknutseld, waar vind ik de patch dan? Asus? Intel? (i7 7700K)
In jouw geval bij Asus, kan natuurlijk wel zijn dat Asus de patches nog niet beschikbaar heeft gesteld. maar houd dus de download pagina van jouw type moederbord even in de gaten de komende tijd voor nieuwe bios updates en andere zaken.
Uh... leuk die "detection tool"... Maar hoe patch ik nu mijn PC, laptop en servers?
Niet. Je moet wachten tot de fabrikanten de patch beschikbaar stellen. Dit kan Intel niet zelf.
De fabricant van je moederbord neem ik aan?
Mobo fabrikanten inderdaad of de OEM's in het geval van complete machines van bijv. HP/HPE/Dell/Lenovo, maar deze cpu's zitten ook in bijv. een boel Qnap / Synology NAS apparaten en zo zijn er vast nog een boel apparaten te vinden.
Dat klopt, de Intel ME updates zitten doorgaans in de uefi / bios updates ingebakken.
Als voorbeeld: Wanneer ik mijn Lenovo laptop een uefi update laat uitvoeren wordt eerst de uefi geupdate en daarna Intel ME.
Contact your system manufacturer for support and remediation of this system.

Dat is de output van de detectietool. Dat lijkt mij een vrij duidelijke opdracht.
Wat is er nou gepatcht? Ik lees alleen maar een waarschuwing van Intel en een detectietool??
Volgens mij is de code om het probleem te verhelpen beschikbaar gemaakt aan fabrikanten van apparatuur waar de Management Engine in zit.
Intel advises Microsoft and Linux users to download and run the Intel-SA-00086 detection tool to determine whether their systems are vulnerable to the above bugs. If you are at risk, you must obtain and install firmware updates from your computer's manufacturer, if and when they become available. The new code was developed by Intel, but it needs to be cryptographically signed by individual hardware vendors in order for it to be accepted and installed by the engine.
Volgens The Register.
Er staat letterlijk dat als je die tool draait en het blijkt dat je vatbaar bent, je firmware update van je producent moet downloaden, als en wanneer die beschikbaar komt.

Intel heeft de basis gelegd, maar zolang die producenten ze niet digitaal signeren, kan je er nog niks mee.

[Reactie gewijzigd door Pim0377 op 21 november 2017 08:42]

Wel een mooi moment om te zien hoe goed de support van de producenten gaat zijn, welke producent gaat bijv. deze updates alleen voor recente systemen beschikbaar stellen en welke producent pakt wel zijn hele range mee.
Wel een mooi moment om te zien hoe goed de support van de producenten gaat zijn...
Volgens mij zijn de Skylake en nieuwere moederborden nog gewoon ondersteund door de vendors, dus ik verwacht wel (zeker voor de moederborden die high-end segment zijn / waren) dat zij een BIOS-update gaan krijgen, vraag is alleen hoe snel dat is. Het is niet zoals met telefoons, dat er gigantisch veel apparaten de update dienen te krijgen. Het aantal apparaten is veel totaal bezien, maar elke vendor hoeft maar een beperkt aantal producten van de update te voorzien.
Dat zou je inderdaad verwachten, maar er zijn volgens mij genoeg early skylake borden te vinden die al tijden geen update meer hebben gehad. Dus wat dat betreft eerst zien dan geloven. Aantal verschillende apparaten verkijk je je mogelijk toch wel op, als ik even snel kijk heeft bijv. een MSI toch een 50+ verschillende borden per generatie, van andere vendoren verwacht ik eigenlijk niet anders. En dan heb je nog de HP/HPE/Dells/Lenovo's e.d. die toch ook een berg producten hebben met CPU's op de lijst en niet te vergeten Synology's / Qnaps's e.d. met deze cpu's en zo zijn er nog wel een flink aantal devices op te noemen denk ik.
Aangenomen dat ze een beetje goed opgezette dev-omgeving hebben (hele riskante aanname, helaas) zouden ze voor alles dezelfde patch kunnen uitbrengen, en verwacht ik alleen een paar specifieke issues in hun teststraatje. Het is niet alsof de CPU elke keer anders is, of dat die planken zoveel verschillen...
Het meeste verschil van mobo's zit in de extra functionaliteiten en resources die ze erop solderen, niet bij de CPU aansluiting. Daar heb je wel gelijk in.
De linux versie van de detectietool is een tar-bom. Had wel iets beters verwacht van Intel :(

[Reactie gewijzigd door Kees op 21 november 2017 09:41]

Ik neem aan dat je bedoelt dat Intel code levert en geen binary executable: dat is juist goed!

Er zal dan ook wel een README bij zitten die beschrijft hoe het programma te compileren en zo niet, dan is het waarschijnlijk "./configure && make", met "make install" zal het programma ook worden ge´nstalleerd (vermoedelijk onder /usr/local)
Nee, tar-bom = alles pakt uit in de directory waar je het in aanroept ipv netjes in een aparte directory. Heel basic: als je tar -zxf SA00086_Linux.tar.gz doet heb je ineens een heleboel extra files en directories in je huidige directory ipv in de directory SA00086_Linux/
Jeutje, dat is idd niet zo geweldig. Daarom meestal eerst even kijken met tar -tzf ...
nee, gewooon dtrx gebruiken, maar dat was ik vergeten deze keer ;) Old habits die hard :P
*gewoon* dtrx gebruiken ?
Kende dit "zakmes" nog niet, kijk zo leer ik nog eens wat anders dan gewoon tar en gzip en zo.
offtopi:
dtrx is awesome, hoef je geen flags meer te leren, hij autodetect vrijwel alle compressie-standaarden, en hij detecteerd dus tar-bombs en pakt het dan uit in een aparte directory.
Ik heb pas geleden nog via HP SoftPaq Download Manager de "Intel Corporate Management Engine Firmware Component" geupdate, omdat er een 'critical' update was (v11.7.0.1045 W 5).
Ik check nu, en er is weer een critical update van 16-11-2017 (v11.8.50.3425 B 1).
Blijkbaar komt er weer een aan, lees ik hier? <-- Blijkbaar is v11.8.xxx de patch voor dit probleem.

Wat is dit? Moet ik dit nu elke maand gaan updaten?
Het is nog onhandig ook, want de update gaat niet automagisch via HP SDM, maar moet handmatig gedraaid worden.

[Reactie gewijzigd door MeMoRy op 21 november 2017 10:36]

Volgens mij was die vorige nog van het TPM-probleem van een paar weken terug,
Bij mij via Windows Update: Intel - System - 7/18/2017 11.7.1040

(Maar nog altijd kwetsbaar volgens dat progje van Intel?!)
Dat is geen firmware update. Je kan de ME firmware alleen met een firmware update bijwerken en dat kan niet via Microsoft of Windows en moet via de hardware vendor.
Ja oeps, mijn fout haha! Mijn Intelletje heeft nu een recente BIOS gekregen (via de GIGABYTE-site) en de scanner heeft aangegeven dat ik niet meer VULNERABLE ben. Oef!

Risk Assessment
Based on the analysis performed by this tool: This system is not vulnerable. It has already been patched.

For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link: https://security-center.i...SA-00086&languageid=en-fr


INTEL-SA-00086 Detection Tool
Application Version: 1.0.0.128
Scan date: 22-11-17 17:15:59

[Reactie gewijzigd door paardje op 22 november 2017 17:16]

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*