Veel systemen met kwetsbare Intel-chips krijgen pas in 2018 een patch

Nu de lijst van fabrikanten die aan patches werken voor systemen met kwetsbare Intel-chips groeit, blijkt dat veel fixes pas eind 2017, begin 2018 gereed zijn. Bovendien melden de fabrikanten dat voor veel patches de introductiedatum nog bepaald moet worden.

Intel heeft de lijst van fabrikanten die informatie hebben verstrekt over hun patchbeleid bijgewerkt sinds afgelopen dinsdag. Die dag publiceerde het chipbedrijf een beveiligingswaarschuwing over kwetsbaarheden in zijn Management Engine vanaf versie 11 en in de Server Platform Services en Trusted Execution Engine. Op de lijst staan nu links naar de supportpagina's van Acer, Dell Client, Dell Server, Fujitsu, HPE, Intel, Lenovo en Panasonic. Van enkele bedrijven, zoals Asus en HP, maar ook die van fabrikanten als SuperMicro, ontbreekt nog informatie over de beschikbaarheid van patches.

Van de fabrikanten die wel al supportpagina's online hebben, is in veel gevallen echter ook onduidelijk wanneer ze systemen een beveiligingsupdate geven. Zo heeft Acer voor al zijn getroffen laptops en desktops, 240 modellen in totaal, TBD staan, ten teken dat niet bekend is wanneer de fixes gereed zijn. Bij de lange lijst van Dell-systemen is in 191 gevallen niet bekend wanneer de update klaar is. Van 23 Dell-systemen komt de fix in 2018, 49 krijgen deze nog dit jaar waarvan de meeste in december. Bij Lenovo's lijst staat TBD bij fixes voor zeven systemen. Intel zelf brengt de patches voor NUC's, Compute Sticks en Compute Cards ergens in december uit.

Onderzoekers van het bedrijf Positive Technologies demonstreren een aanval op basis van de meerdere kwetsbaarheiden op de Black Hat-beveiligingsconferentie op 6 december. In totaal gaat het om tien kwetsbaarheden waarvan de ernstigste in de Management Engine zitten. Deze maken uitvoeren van code mogelijk zonder dat de gebruiker dit merkt en waarbij malware kan blijven bestaan ondanks herinstallaties of bios-updates.

Reacties (79)

ResuCigam

23 november 2017 17:58

Hoe zit het eigenlijk met oudere versies van Intel's ME, ik heb bijvoorbeeld versie 9. Hebben die geen bugs of kijkt Intel daar uberhaupt niet meer naar en heb je pech?

Soldaatje @ResuCigam • 23 november 2017 18:08

v8-9-10 hebben ook twee probleempjes, hier staat alles wat je moet weten: https://security-center.i...sa-00086&languageid=en-fr

Moet eerlijk zeggen, was niet echt wantrouwend tegenover deze techniek, moet nu toch de aluminium-hoedjes gelijk geven.

[Reactie gewijzigd door Soldaatje op 23 juli 2024 20:50]

Iblies @Soldaatje • 23 november 2017 18:48

Alles is te kraken,

is een kwestie van tijd. Als burger ben je misschien minder belangrijk,
maar elke overheid en/of bedrijf moet bewust zijn van het feit dat veiligheid een momentopname is.

Certificering die je een kwartaal geleden hebt gehad, kan vandaag ineens niets waard zijn.

Als je het mij vraagt, moeten alle grotere bedrijven een haalbaar noodplan hebben om onderdelen van ICT-structuur te kunnen loskoppelen, redundant hebben uitgevoerd,
maar ook regelmatig het idee opgooien wat nodig zou zijn indien een onderdeel niet meer kan gebruiken om wat voor reden dan ook. Het wordt te vaak gezien als een halve afdeling die pc’s vervangt.

Nox @Iblies • 23 november 2017 19:02

Dat kost een hoop centen. Wat je af en toe aantreft is echt erbarmelijk. De wat grotere bedrijven die 200 euro voor een wifinetwerk duur vinden, dat soort dingen. Nee, dan houdt het snel op.

gubyan @ResuCigam • 24 november 2017 07:01

Affected products:

•6th, 7th & 8th Generation Intel® Core™ Processor Family
•Intel® Xeon® Processor E3-1200 v5 & v6 Product Family
•Intel® Xeon® Processor Scalable Family
•Intel® Xeon® Processor W Family
•Intel® Atom® C3000 Processor Family
•Apollo Lake Intel® Atom Processor E3900 series
•Apollo Lake Intel® Pentium™
•Celeron™ N and J series Processors

BernardV @ResuCigam • 23 november 2017 18:03

Aangezien ze het hebben over “vanaf versie 11” denk ik dat er bij die versie fouten zijn geïntroduceerd.

Je zou het eventueel kunnen checken met deze tool:
https://downloadcenter.intel.com/download/27150

bartje @ResuCigam • 23 november 2017 18:10

Ik heb de scantool van Intel vorige gedraaid. Die geeft aan versie 9 niet kwetsbaar. Dus in ieder geval niet voor waar deze patchrinde voor is.

bartje 23 november 2017 18:13

Wat ik me afvraag, hoe worden deze patches eigenlijk uitgerold. Als het niet automatisch is zullen onwetenden van de me dit nooit doen.
De enige manier om dit goed te automatiseren is denk ik via Windows update, maar het is geen Windows onderdeel en je gaat voorbij aan de Unix gebruikers.

dmantione @bartje • 23 november 2017 19:32

De kans dat het via een besturingssysteemupdate zoals Windows Update meekomt is gering, omdat ieder moederbord zijn eigen BIOS nodig heeft. Microsoft zal weinig trek hebben om voor ieder moederbord een BIOS-update te gaan testen, dat hebben ze nooit gedaan en gaan ze echt nu niet optuigen.

Het gaat zoals het altijd gaat: BIOS downloaden bij de fabrikant. De meeste fabrikanten hebben geen geautomatiseerde procedure daarvoor en dat was ook nooit nodig, omdat het BIOS niet superveiligheidsgevoelig was. Nu er echter een volwaardig Minix-besturingssysteem in zit, verandert dat en ik denk dat de zaak uit de fles is: Nu hackers er toegang toe hebben, zullen ze meer lekken gaan zoeken. En vinden, want Minix is nog nooit op deze schaal onder vuur gelegd.

Dennism

Processors
Intel

@dmantione • 23 november 2017 23:50

Hoewel ik niet verwacht dat dit via Windows update gedaan zal worden (het zou uiteraard wel makkelijk zijn) test Microsoft voor zover ik weet alle door 3rd party gepushte (driver) updates via Windows Update niet zelf.

Fabrikanten voeren de tests zelf uit, waarna ze een package kunnen submitten naar Microsoft voor review waarna deze gepubliceerd kan worden bij goedkeuren. Het "leg work" wordt dus al door de 3rd Party fabrikanten gedaan. Maar gezien er via Windows Update amper firmwares gepushed worden door 3rd Party fabrikanten verwacht ik niet dat de mobo makers dit proces ingericht hebben.

bvk @bartje • 23 november 2017 18:26

Dat vraag ik me inderdaad ook af. Zeker voor hosters die honderden zo niet duizenden servers hebben draaien met Skylake cpu's in allerlei verschillende configuraties.

Een server is immers 24/7 kwetsbaar en vormt dus een veel groter risico dan een desktop pc die lang niet altijd aanstaat.

Dennism

Processors
Intel

@bvk • 23 november 2017 23:39

De op Skylake gebaseerde Xeon cpu's zijn pas een paar maand uit, dus relatief gezien zal het aantal deployments met die cpu's (o.a. Scalable Xeons voor servers en Xeon W voor workstations) nog meevallen.

bvk @Dennism • 24 november 2017 00:43

De E3 1270 v5 in de Dell R230 die ik huur is toch al uit sinds Q4 2015 hoor:

https://ark.intel.com/pro...1270-v5-8M-Cache-3_60-GHz

Dus Skylake Xeon's zijn er al een tijdje

Dennism

Processors
Intel

@bvk • 24 november 2017 00:56

Dat klopt, daarom noem ik die ook niet, daar deze afgeleiden zijn van de desktop skylakes en die zie je eigenlijk alleen op instap spul en niet de specifiek voor de zakelijke markt ontwikkelde Skylake Xeons op basis van de Skylake-X architectuur. Maar misschien had ik inderdaad beter Skylake-X Xeons kunnen zeggen.

EraYaN @bartje • 23 november 2017 18:32

UEFI/BIOS update.

Robin4 @bartje • 24 november 2017 01:37

Asus heeft voor diverse moederborden al een ME Update tool beschikbaar..
(skylake, kabylake)
https://www.asus.com/nl/M...50I-GAMING/HelpDesk_BIOS/

MEUpdateTool
Intel has identified security issue that could potentially place impacted platform at risk.
Use ME Update tool to update your ME.
*We suggest you update ME Driver to the latest Version 11.7.0.1040 simultaneously.

Je moet dan wel even je eigen type bord opzoeken en kijken of die voor jou ook erbij staat.

Via MSI kreeg ik te horen dat het in de bios versie verholpen word, met een nieuwe bios.
https://nl.hardware.info/...g-pro-ac-meupdate.291567/

Hallo,

De B250I Gaming Pro AC krijgt een BIOS update, en daarin zit de ME versie die de remote attack bug oplost.
Op dit moment wordt er getest met de nieuwe BIOS versies.
BIOS versie 1.50 zou binnenkort op de website moeten verschijnen.

Neem aan dat diverse andere MSI borden ook zullen volgen..

[Reactie gewijzigd door Robin4 op 23 juli 2024 20:50]

Martinspire 23 november 2017 19:07

In hoeverre moet men toegang hebben tot hardware of OS voordat de exploits misbruikt kunnen worden?

inaba_nl @Martinspire • 23 november 2017 19:17

internet connectie en stroom in de pc zou genoeg moeten zijn (ook al staat de pc uit)

Arnaud @inaba_nl • 24 november 2017 16:13

vervang "internet connectie" maar door "wired network connection"

* want als mijn laptop alleen via Wifi aan het internet hangt en hij staat uit ben je natuurlijk veilig
* als je achter een NAT-device zit (zoals iedereen thuis of op het werk) ben je veilig

Alleen als je fysieke toegang hebt tot een apparaat OF als het apparaat via een draadje aan hetzelfde netwerk zit als een hacker ben je onveilig

Toegang tot het OS of zelfs tot het BIOS is niet nodig! De IME zit nog voor het BIOS/UEFI en overleeft dus OS-herinstallaties en kan in principe zelf BIOS-updates blokkeren en een hack op IME kan zich dus "onverwijderbaar maken"

inaba_nl @Arnaud • 24 november 2017 17:37

"als je achter een NAT-device zit (zoals iedereen thuis of op het werk) ben je veilig"

Tenzei die NAT ook op een lekke CPU/verouderde (lekke) firmware zit

Maargoed, die kans is klein.

CAPSLOCK2000

Netwerk en systeembeheer

23 november 2017 18:08

Als ik nu computers heb die niet meer aan het netwerk mogen kan ik dan m'n geld terug krijgen?

Hoe zit dat eigenlijk bij reguliere garantie. Als mijn stofzuiger stuk gaat, mag de fabrikant dan zeggen dat er volgend jaar een oplossing komt voor mijn probleem?

CMD-Snake @CAPSLOCK2000 • 23 november 2017 18:23

Hoe zit dat eigenlijk bij reguliere garantie. Als mijn stofzuiger stuk gaat, mag de fabrikant dan zeggen dat er volgend jaar een oplossing komt voor mijn probleem?

De vergelijking gaat wel mank. Een stofzuiger is wat makkelijker te maken dan een stukje software. Intel en de OEM's zullen dit goed moeten testen dat er niets omvalt door de patch. Anders krijg je weer nieuwsberichten van computers die niet meer kunnen opstarten na deze fix.

Als je de BIOS/UEFI sloopt van je computer kan het soms een flinke klus zijn om dit op te lossen. Gelukkig is dit beter nu te doen dan vroeger, maar deze patch moet zo gemaakt zijn dat iedereen die moet kunnen installeren.

CAPSLOCK2000

Netwerk en systeembeheer

@CMD-Snake • 23 november 2017 18:49

De vergelijking gaat wel mank. Een stofzuiger is wat makkelijker te maken dan een stukje software.

Dat is wel zo maar daar heb ik niks aan. Als Intel (of eigenlijk de winkelier) het niet tijdig kan oplossen dan wil ik m'n geld terug. De economische levensduur van een computer is drie tot vijf jaar en de waarde neemt snel af. Als een half jaar daarvan het systeem niet bruikbaar is dan is dat best een groot deel.

Ik snap dat ze niet kunnen toveren en dat het probleem oplossen erg lastig kan zijn. Ergens ligt er een grens tussen wat een redelijke termijn is en wat niet. Ik heb alleen geen idee hoe dat wettelijk geregeld is.

Vayra @CAPSLOCK2000 • 23 november 2017 19:27

Volgens mij: niet. Pas als je er schade van ondervindt heb je mogelijkheden, bijvoorbeeld door een schadevergoeding te eisen.

Maak maar eens hard dat jouw PC zo essentieel is dat ie niet met dit bugje op een netwerk kan. Want als je dat niet lukt, dan heb je al geen poot om op te staan. Jou is nooit een onkraakbaar systeem verkocht.

[Reactie gewijzigd door Vayra op 23 juli 2024 20:50]

R4gnax @Vayra • 23 november 2017 20:35

Maak maar eens hard dat jouw PC zo essentieel is dat ie niet met dit bugje op een netwerk kan. Want als je dat niet lukt, dan heb je al geen poot om op te staan. Jou is nooit een onkraakbaar systeem verkocht.

Randvoorwaarde voor bijv. het gebruik van internetbankieren is dat je de beveiliging voor je computersysteem zelf up-to-date houdt. Aangezien dat met een PC met deze lekke management engine niet zonder een patch te doen is - met geen mogelijkheid aangezien we het hier over een gebrek in de embedded software van de hardware zelf hebben - kun je die PC in principe niet meer gebruiken voor dat soort zaken zonder het risico te lopen geen aanspraak te kunnen maken op ondersteuning van je bank, mocht het daar mis gaan.

Door dat soort gevallen verliest zo'n PC wel degelijk zijn waarde en functie en kun je non-conformiteit claimen.

[Reactie gewijzigd door R4gnax op 23 juli 2024 20:50]

Dennism

Processors
Intel

@R4gnax • 23 november 2017 23:57

Dat kan inderdaad, maar je moet de verkoper wel de kans geven het defect te repareren (patchen). Als dat maanden gaat duren dan zou je inderdaad mogelijk non-conformiteit kunnen claimen. Binnen een paar dagen zie ik zo'n claim niet direct als kansrijk en voordat dit voor de rechter uitgespeeld is of in veel gevallen ook maar voor de rechter zal komen daar dat ook wel een tijdje duurt (verkopers gaan echt niet zonder slag of stoot akkoord met een non-conformiteitsclaim) zal de patch al wel beschikbaar en het probleem dus eigenlijk "opgelost".

CAPSLOCK2000

Netwerk en systeembeheer

@Vayra • 24 november 2017 00:47

Volgens mij: niet. Pas als je er schade van ondervindt heb je mogelijkheden, bijvoorbeeld door een schadevergoeding te eisen.

Maak maar eens hard dat jouw PC zo essentieel is dat ie niet met dit bugje op een netwerk kan. Want als je dat niet lukt, dan heb je al geen poot om op te staan. Jou is nooit een onkraakbaar systeem verkocht.

Ik ben bang dat je gelijk hebt, maar als de remmen van m'n auto kapot gaan dan hoef ik niet eerst een ongeluk te maken voor ik terug naar de garage ga.

CMD-Snake @CAPSLOCK2000 • 23 november 2017 21:35

Dat is wel zo maar daar heb ik niks aan. Als Intel (of eigenlijk de winkelier) het niet tijdig kan oplossen dan wil ik m'n geld terug.

Wat is tijdig? Dit ligt ook aan het onderwerp. Een stofzuiger moet binnen een week gemaakt zijn of vervangen, maar een stukje van je UEFI? Ik heb dan liever dat men wat meer tijd besteed aan QA.

r0n625 23 november 2017 18:09

Dan ben ik benieuwd hoe de patch geïnstalleerd moet worden.
Mijn PC kocht ik zonder besturingssysteem en ik heb geen Windows.
Of zouden ze daar iets op verzonnen hebben...........

RAAF12 @r0n625 • 23 november 2017 18:14

De firmware bios/uefi moet geflashed worden. Daar zijn Windows flashtooltjes voor te downen op de fabriekssite van je apparaat of moederbord. Wat voor OS gebruik je? Is wel handig omdat gelijk even te melden.

[Reactie gewijzigd door RAAF12 op 23 juli 2024 20:50]

inaba_nl @RAAF12 • 23 november 2017 18:19

in de meeste gevallen heeft een bios/uefi ook de optie zichzelf te kunnen upgraden via een flash drive (usb o.i.d.)
dit kun je vanuit de uefi/bios interface zelf regelen, indien dit niet het geval is, moet je deze vanuit een supported OS doen helaas..

popNL @inaba_nl • 23 november 2017 18:42

Ik krijg het in het geval van enkel een windows executable tot nu toe nog steeds wel voor elkaar om biossen te updaten zonder windows te installeren, in de meeste gevallen is het een kwestie van een windows iso downloaden van MS waar je vervolgens een windows PE medium van kan maken, ook in linux bijv. Soms is freedos voldoende. Dan booten, updaten en je kan weer verder zonder het os te hoeven installeren.

inaba_nl @popNL • 23 november 2017 18:44

ah, weer wat geleerd!

neemt niet weg dat het ietwat omslachtig is

Titan_Fox @inaba_nl • 23 november 2017 22:01

Windows 10 kun je prima op een USB drive installeren en mee opstarten. Daar heb je enkel een stick en de ISO voor nodig. Je kunt dan feitelijk dualboot met je HDD en een USB drive.

Programma heet 'Win2USB'. Enige nadeel is dat sommige grotere feature-updates niet willen installeren, zoals de recentelijk 'Autumn Upgrade" of hoe dat ding heet. Overige patches zijn geen probleem.

r0n625 @RAAF12 • 24 november 2017 12:17

Welk besturingssysteem?
1. Linux door mij aangepast (één van de vele duizenden dus).
2. Haiku
3. PC-BSD
4. OpenSolaris

Zou ReactOS een optie zijn?
Het moet tenslotte wel gratis zijn en liefst OpenSource............

Verwijderd 23 november 2017 18:01

Oei Intel zou zich eigen even moeten herpakken, de problemen stapelen zich op..

Verwijderd @Verwijderd • 23 november 2017 21:07

Ik had begrepen dat vanuit Intel de tijd om dingen uitvoerig te testen, gekort was, en dat er bij productie / release van CPU's steeds mindere mate van testen wordt gestoken om het puur maar optijd eruit te krijgen. Vroeger was Intel een zeer respectabel bedrijf. De CPU's waren gewoon van goede kwaliteit, wat je ook van AMD, Cyrix, IBM of Via mocht vinden. Tegenwoordig bevatten intel cpu's steeds vaker bugs en ernstige lekken die gewoon niet door de mand kunnen.

Er draait 85% van alle hardware op deze planeet zowat op X86 / X64 en met name Intel. Dit zijn ernstige bugs en een firmware update lost het eigenlijk niet op. Het zorgt er alleen voor dat bij het booten de CPU's deze exploit namelijk (niet) meer heeft maar de CPU zelf blijft gewoon faulty en kwetsbaar.

Het is niet voor niets dat Rusland en andere landen begonnen zijn aan hun eigen variant van een CPU, nou ja begonnen, die zijn er al reeds. Maar het is toch een signaal dat CPU's van intel niet vertrouwd kunnen worden en dat niemand weet wat er in IME precies schuilt. 10 bugs in een net nieuwe CPU noem ik best kwalijk. Intel moet zich schamen en eens ophouden met het maximaliseren van winsten ipv skimpen op een zeer belangrijk proces, het testen van hun CPU's.

Dennism

Processors
Intel

@Verwijderd • 23 november 2017 23:35

De IME zit alleen niet in de CPU maar in de chipset (PCH), wel heeft die IME toegang tot de CPU via de PCH.

francisp @Verwijderd • 24 november 2017 08:05

Vroeger was Intel een zeer respectabel bedrijf. De CPU's waren gewoon van goede kwaliteit, wat je ook van AMD, Cyrix, IBM of Via mocht vinden. Tegenwoordig bevatten intel cpu's steeds vaker bugs en ernstige lekken die gewoon niet door de mand kunnen.

De FDIV-bug in de Pentium vergeten ? Hebben ze wel goed opgelost door mij een vervanging te leveren, maar blijkbaar is hun kwaliteitscontrole na al die jaren nog steeds ondermaats.

PPie @Verwijderd • 24 november 2017 08:14

Er draait 85% van alle hardware op deze planeet zowat op X86 / X64 en met name Intel.

(Gelukkig) kleine nuance: Desktop/server hardware. Het overgrote deel van de hardware is ARM.
(Daar zullen echter waarschijnlijk andere problemen in zitten...)

austin_77 23 november 2017 17:55

Iets zegt me dat ik kan fluiten naar die patch voor mijn Toshiba Satellite Radius 12.
Ik zie Toshiba er niet tussen staan en aangezien ze zich uit europa hebben teruggetrokken...

bvk 23 november 2017 18:12

Bij de lange lijst van Dell-systemen is in 191 gevallen niet bekend wanneer de update klaar is. Van 23 Dell-systemen komt de fix in 2018, 49 krijgen deze nog dit jaar waarvan de meeste in december.

Ik zie dat er voor de servers al wel een patch beschikbaar is, dus bovenstaande geldt dan alleen voor desktop systemen?

Dat wordt dus even een ticket aanmaken bij i3D om mijn gehuurde R230 server te patchen, ga ik niet zelf doen

Mitsuko 23 november 2017 18:28

Wie geen zin heeft om te wachten kan met de informatie hier proberen om een gepatchte versie te flashen (het plaatje met informatie over INTEL-SA-00086 is alleen zichtbaar als je ingelogd bent). Maar doe voorzichtig! Zorg dat je de juiste versie pakt voor jouw systeem en let op de waarschuwing: flash niet van bijvoorbeeld v11.0 naar v11.8 tenzij je heel zeker weet dat je het ongedaan kan maken.

lodew 23 november 2017 18:51

De me doet tegenwoordig veel meer dan out of band management. Die regelt oa fans, shutdown on critical temp, bclk, Max power,... Je moet anders de management engine code maar eens uit je bios halen met uefi tool. En open je management engine firmware dan eens met de Intel Fitc (firmware image tool). Dan heb je een globaler idee. Het unlocken van de bclk slider in intel xtu op laptops en desktops mobo's doe je door de firmware van de me aan te passen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (79)

Sorteer op:

Weergave: