Schon seit geraumer Zeit ist bekannt, dass Intels Management Engine gehackt wurde, jedoch ist die Medienberichterstattung hierzu unserer Meinung nach recht dürftig. Auch wenn es nicht das Hauptthema unserer Seite ist, wollen wir aus gegebenem Anlass in einfachen Worten informieren, was dies für die meisten Anwender bedeutet. Kurz gesagt: Millionen von Computern mit Intel Prozessoren stehen aktuell für Hacker offen wie ein Scheunentor. Je nach System ist sogar eine komplette Systemübernahme aus der Ferne denkbar.
Wie ist das möglich?
Intel verbaut seit einigen Generationen in seinen Chipsätzen/Prozessoren eine Technologie, die sich Management Engine (ME), Server Platform Services (SPS) oder Trusted Execution Engine (TXE) nennt. Einfach erklärt handelt es sich dabei um einen eigenen, abgeschotteten kleinen “PC im PC”. Dieser hat ein eigenes Betriebssystem (Minix) und hat “von innen” praktisch vollen Zugriff auf alle Bereiche des PCs. Allerdings in einem Supervisor-Modus, in dem die Management Engine komplett für den PC unsichtbar bleibt. Die Management Engine kann jedoch von außen angesprochen werden und auch Daten aus dem PC nach außen tunneln. Wer Zugriff über die ME hat, hat unbegrenzten Zugriff auf das gesamte System. Gleichzeitig ist die ME nicht von Virenscannern oder ähnlicher Software sichtbar/zugreifbar. Was in der ME vorgeht, sollte und wollte nur Intel für sich behalten, weshalb wichtige Teile der ME bis heute undokumentiert sind. Denn sollte jemand anderes als Intel sich in die MEs dieser Welt einloggen können, dann hätte man praktisch unkontrollierbaren Zugriff auf praktisch jeden PC, der in den letzten Jahren gebaut wurde.
Wofür braucht man die Management Engine?
Gute Frage, verschwörerische Antwort: Da vieles an der ME Intels Geheimnis ist, kann man nur mutmaßen um was es geht. Als Gerücht hält sich die Vermutung, dass die amerikanische Regierung amerikanische Unternehmen zwingt, Hintertüren (Backdoors) in Hardware einzubauen, die jedes Stück Technik für Dienste wie die NSA leicht überwachbar macht. Die ME hätte jedenfalls das Zeug dazu. Doch wie es mit einer Backdoor nunmal so ist. Sobald eine dritte Partei Zugriff auf die Systeme bekommt, wendet sich die Ursprungsidee schnell gegen den Erfinder.
Hat jemand jetzt Kontrolle über mein System?
Theoretisch ja, aber konkret wahrscheinlich (noch) nicht. Denn die Management Engine wurde gehackt. Zum Glück von Hackern mit guten Hintergedanken: Mark Ermolov und Maxim Goryachy fanden eine Sicherheitslücke, mit der sie unsignierten Code in der ME ausführen konnten. Böse Hacker könnten hiermit Code auf einem Rechner laufen lassen, den Virenscanner und andere gängige Sicherheitstools nicht erkennen oder abwehren können. Wirklich gar nicht, denn der Schadcode würde in diesem Fall in einem System laufen, das es für den PC offiziell gar nicht gibt (aber das vollen Zugriff auf fast alles ermöglicht). Ein Traum für böse Buben.
Mark Ermolov und Maxim Goryachy haben (wie es sich für echte White Hats gehört) Intel schon frühzeitig informiert und haben noch nicht öffentlich darüber gesprochen, wie sie die ME genau geknackt haben. Deswegen dürfte es bis heute noch keine Malware geben, die in der ME laufen kann.
Intel steht nun unter Zugzwang und muss nun die versuchen die Löcher zu stopfen, bevor das Wissen über den Zugriff auf die ME-Backdoor publik wird. Dieser Termin ist übrigens spätestens der 6. Dezember, denn an diesem Tag wollen Mark Ermolov und Maxim Goryachy einen Vortrag über ihre Erkenntnisse auf einer Hackerkonferenz bekannt geben.
Was kann ich tun?
Tatsächlich hat Intel die entsprechenden Bugs gefunden und gefixt, doch nun gibt es ein Problem. Um die Löcher zu stopfen, ist meistens ein Firmware-Update des Mainboards erforderlich. Und für deren Bereitstellung sind die Mainboard-Hersteller in der Pflicht, da jedes BIOS individuell von dem Hersteller erstellt wird. Es scheinen zwar viele namhafte Hersteller schon Updates bereitzustellen, aber die Informationspolitik müsste in unseren Augen auch soweit gehen, dass auch technik-unaffine Nutzer alarmiert sind und versuchen, ihren Rechner zu patchen. Wir alle wissen, dass dies nicht passieren wird. Lieschen und Müller und Max Mustermann werden sicherlich nicht ihr Mainboard BIOS flashen, alleine schon weil sie gar nicht wissen, wo man ein Update bekommt.
Wer auf der sicheren Seite sein will, sollte als erstes checken, ob die eigene Hardware betroffen ist. Dies soll unter anderem mit einem Intel-Tool zuverlässig möglich sein.
Im Falle einer Verwundbarkeit sollte man die zugehörigen Herstellerseiten in nächster Zeit (und am besten vor dem 6. Dezember) aufsuchen. Heise Security versucht hier eine aktuelle Hersteller-Liste zu pflegen.
Wer mehr tun will, kann sich mit Hackern kurzschließen, die schon seit geraumer Zeit versuchen die ME zu deaktivieren.
Wer meint, das sei schon anstrengend, der sollte einmal darüber lesen, wie Google versucht die ME-Geister von seinen Servern fernzuhalten.
Darauf jetzt mal ein großes zynisches “Danke Intel! Das kann ja noch heiter werden...”
