Thema "Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar" in Desktop PC / All-In-One

C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Ulli56 — Fri, 24 Nov 2017 15:33:51 GMT

Hallo, was hat es mit der neuesten Meldung der C-Bild auf sich, dass fast alle Intel Prozessoren Sicherheitslücken aufweisen? Habe einen Medion Akoya P5378 I/C304 mit Intel(R) Core(TM) i5-6402P CPU @ 2.80GHz. Habe den Test durchgeführt mit der Meldung "Dieses System hat Sicherheitslücken". Was kann ich tun? Danke.

Gruß Ulli

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Kill_Bill — Fri, 24 Nov 2017 16:16:02 GMT

Geht es hier im die selbe Geschichte?

https://www.heise.de/security/meldung/Intel-stopft-neue-Sicherheitsluecken-der-Management-Engine-SA-00086-3895175.html

und neuer:

https://www.heise.de/security/meldung/Intel-Computer-BSI-warnt-vor-Sicherheitsluecke-Updates-teils-spaet-3900167.html

der Link zum

Intel-SA-00086 Detection Tool von Intel:

https://downloadcenter.intel.com/download/27150

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Ulli56 — Fri, 24 Nov 2017 16:31:41 GMT

Ja so sieht es aus, gleiche Problematik. Dein Link führt zur Scannersoftware, der mir die Sicherheitslücke nennt. hast du meinen Beitrag nicht vollständig gelesen?

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Kill_Bill — Fri, 24 Nov 2017 16:49:40 GMT

Deinen Beitrag habe ich zwar schon gelesen, aber auf der C-Bild Seite habe ich erst mal nichts gefunden, und genauer Link war ja auch nicht mit dabei. Immerhin habe ich aber richtig geraten! 😉

Edit:

Mein Akoya P5320 E ist auch betroffen. Habe neuestes BIOS 1.10 bereits installiert.

Intel(R) ME Information

Engine: Intel(R) Management Engine
Version: 11.0.0.1168
SVN: 1

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Ulli56 — Fri, 24 Nov 2017 16:48:29 GMT

Hier der Link "http://www.computerbild.de/artikel/cb-News-Sicherheit-Intel-Prozessoren-Sicherheitsluecke-19409101.html". Gibt es ein Update oder eine Lösung.

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Kill_Bill — Fri, 24 Nov 2017 18:11:39 GMT

Als Lösung müsste man wohl eine neue Intel ME (Management-Engine) Version in die UEFI-Firmware installieren.

Nachdem wir aber nur ein Mainboard mit Intel H110 Chipsatz haben, sollten nur wenige Intel ME Funktionen freigeschaltet sein, bin mir nicht sicher in wie weit das überhaupt ein reales Risiko darstellt (aus der Ferne angreifbar). Intel vPro ist hier ja nicht aktiv.

https://de.wikipedia.org/wiki/Intel-100-Serie (siehe vPro)

"Die Intel Active Management Technology, abgekürzt iAMT, ist ein von Intel entwickeltes proprietäres Lights-Out-Management-System zur Administration und Fernwartung von Computersystemen basierend auf Intel vPro"

Quelle: https://de.wikipedia.org/wiki/Intel_Active_Management_Technology

Wir müssen aber wohl darauf hoffen, dass es von Medion ein entsprechendes Firmware-Update geben wird.

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Ulli56 — Fri, 24 Nov 2017 17:15:56 GMT

Ist jetzt so zu verstehen, dass es momentan kein Firmwareupdate gibt und keine unbedingte Eile nötig ist. Wie komme ich an die Info eines zukünftigen Updates?

Danke.

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Kill_Bill — Fri, 24 Nov 2017 17:47:11 GMT

In deinem Fall müsste das Update auf dieser Seite auftauchen:

https://www.medion.com/de/service/_lightbox/treiber.php?msn=10021413&prod=MEDION%20AKOYA%20P5378%20I%20DE

Aber eher erfährt man hier im Forum wann, und ob, es ein Firmware Update für die Intel ME geben wird.

Mich würde auch interessieren wie gravierend diese neue Lücke nun wirklich auf der verbauten Hardware (h110 Chipsatz) ist. Werde mir erst mal alle möglichen Beiträge dazu durchlesen, vielleicht erfährt man auf heise security genaueres.

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Rex — Wed, 29 Nov 2017 09:55:00 GMT

Hallo @Ulli56,
hallo @Kill_Bill

Im Downloadbereich auf dem MEDION Serviceportal steht ab sofort das Intel® Management Engine Software Update Fix zur Verfügung:
https://www.medion.com/de/service/_lightbox/treiber.php?stxt=SA-00086

Ausführliche Informationen und weitere nützliche Links zu diesem Thema findet ihr in der entsprechenden FAQ:
https://community.medion.com/t5/FAQs/FAQs-zur-Intel-Management-Engine-SA-00086/ta-p/50926

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Kill_Bill — Wed, 29 Nov 2017 16:50:18 GMT

Ich habe das Update gerade auf einem ECS H110H4-CM2

mit BIOS v. 1.10 als Administrator gestartet. Rechner hat neugestartet, aber es wurde die ME-Firmware nicht aktualisiert, ist noch immer die selbe Version 11.0.0.1168 wie zuvor.

Im error.log im selben Verzeichnis steht:

Error 8719: Firmware update cannot be initiated because local firmware update is disabled

Woran kann das liegen, BIOS Konfiguration?

MfG.

K.B.

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

KlausX — Wed, 29 Nov 2017 19:26:34 GMT

Bei mir mit ECS H110H4-CM2 (P5320 E) leider genau das gleiche.

Man sieht in der Windows Konsole auch ganz kurzfristig einen roten Hinweis o.ä.

Gruß

Klaus

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Andi — Thu, 30 Nov 2017 13:21:07 GMT

Hallo @Kill_Bill und @KlausX.

Ich werde mich hierzu mal erkundigen. Sobald ich eine Rückinfo bekomme, melde ich mich wieder.

Gruß - Andi

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Andi — Fri, 01 Dec 2017 12:45:47 GMT

Hallo zusammen.

Kill_Bill schrieb:

Error 8719: Firmware update cannot be initiated because local firmware update is disabled

Für diesen Fall gibt es nun dieses Update, das speziell nur für das H110H4-CM2 Motherboard vorgesehen ist. Der Download enthält auch eine Anleitung, in der die genaue Vorgehensweise beschrieben ist.

Ein kleines Feedback wäre nett.

Gruß - Andi

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Kill_Bill — Fri, 01 Dec 2017 14:52:23 GMT

Ich habe gerade einen ersten Versuch unternommen, das Update für die Intel_ME zu installieren.

Leider hat es nicht funktioniert, obwohl ich genau nach Anleitung vorgegangen bin.

Es ist etwas unpraktisch, dass sich das Fenster für das Firmware-Upgrade schnell wieder schließt, sodass man nicht erfahren kann, ob der Vorgang erfolgreich war oder nicht. Außer man ist Schnellleser.

Ich versuche es aber gleich nochmal.

bis bald

MfG.

K.B.

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

TomSEE — Fri, 01 Dec 2017 14:57:24 GMT

Super! Bei mir hat es perfekt funktioniert.

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Kill_Bill — Fri, 01 Dec 2017 15:13:56 GMT

Früher habe ich die flash.cmd rechtsgeklickt und als Administrator ausgeführt,

jetzt habe ich zuerst eine cmd.exe mit Administratorrechten gestartet,

und bin dann dort mit cd: c:\medion ins Verzeichnis gewechselt, und habe die flash.cmd in der Konsole gestartet.

Dabei hat sich das Fenster auch nicht mehr selbst sofort geschlossen.

So hat das Update jetzt geklappt!

Ich habe jetzt die Intel ME Version 11.8.50.3425 SVN 3.0

und das Intel SA-00086 Detection Tool meldet, dass das System nun sicher ist.

Allerdings sagt das Tool auch, dass der "Capability Licensing Service Client" veraltet ist.

Die Mindestversion sei 1,47.715,0. "Bitte aktualisieren Sie die Capability Licensing Service Client Software

(erhältlich bei ihrem Systemhersteller)".

MfG.

K.B.

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Anonymous — Fri, 01 Dec 2017 16:58:09 GMT

Hallo Community,

ich habe den H110-Chipsatz und kann bestätigen, dass das bereitgestellte Programm "bioh110h4_cm2_ime_w10.exe" die Intel ME auf Version 11.8.50.3425 aktualisiert.

Das Intel Detection Tool meldet mir nun: "Dieses System hat keine Sicherheitslücken. Es wurde bereits gepatcht."

Es meldet mir allerdings auch: "Der installierte Intel(R) Capability Licensing Service Client ist veraltet. Die Mindestversion ist 1,47.715,0. Bitte aktualisieren Sie die Intel(R) Capability Licensing Service Client-Software (erhältlich bei Ihrem Systemhersteller)."

Kann man wahrscheinlich ignorieren.

Auch kann ich bestätigen, dass das ursprüngliche Update-Programm "IntelME-fix_sa-00086.exe" nun ohne den Fehler "Error 8719: Firmware update cannot be initiated because Local Firmware update is disabled" durchläuft (hat natürlich keinen Sinn, da die ME-Version bereits aktuell ist).

Der Umweg über den ME_DISABLE Jumper ist natürlich etwas umständlich. Könnte man nicht die aktuelle ME-Version 11.8.50.3425 in ein neueres BIOS-Update integrieren oder geht das nicht (weil z. B. das BIOS-Update die Intel ME gar nicht aktualisiert oder die Aktualisierung der ME fehlschlägt)?

Vielleicht sollte man ME_DISABLE auch gesetzt lassen, es gibt ja immer mehr Leute, die die ME unbedingt kaltstellen wollen:
https://www.golem.de/news/freie-linux-firmware-google-will-server-ohne-intel-me-und-uefi-1710-130840-all.html

Was meint Ihr dazu, die Intel ME abzuschalten? Läuft das System dann noch stabil?

Am 06.12.2017 werden übrigens Informationen zu einigen jetzt geschlossenen Sicherheitslücken in der Intel ME veröffentlicht. Der Vortrag findet auf der "Black Hat Europe" statt (falls das jemanden interessiert):
https://www.blackhat.com/eu-17/briefings/schedule/#how-to-hack-a-turned-off-computer-or-running-unsigned-code-in-intel-management-engine-8668

Ein schönes Wochenende.

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

KlausX — Fri, 01 Dec 2017 20:59:30 GMT

Gar nicht so leicht, die Eingabeaufforderung (Administrator) zu finden, weil die durch Powershell ersetzt wurde. Das habe ich wieder umgestellt.

In der Konsol-Ansicht mit diesemTrick von Kill Bill bekomme ich beim Update Versuch Jumper auf 2-3 zum Schluss:

-Error: No Memory Allocated

a1- Error: BIOS does not support ME Entire Firmware update

Dasselbe erscheint auch beim Zurückstecken des Jumpers auf 1-2. Also keine Wirkung des Jumpers.

Mit dem ursprünglichen Update (Administrator) bei der Jumper-Stellung 2-3 erscheint im error.log:

Error 8193: Fail to load MEI device driver (PCI access for Windows)
Above error is often caused by one of below reasons:
Administrator privilege needed for running the tool
ME is in an error state causing MEI driver fail
MEI driver is not installed

Hat jemand eine Idee?

Gruß

Klaus

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Anonymous — Sat, 02 Dec 2017 00:47:13 GMT

Also die Jumper-Stellung auf 2-3 deaktiviert die ME (oder einen Teil davon), das ursprüngliche Update "IntelME-fix_sa-00086.exe" kann dann nicht mehr benutzt werden.

Falls das oben verlinkte Tool "bioh110h4_cm2_ime_w10.exe" auch Fehler verursacht (man kann mit "flash.cmd > log.txt" die Ausgabe in eine Textdatei umleiten), dann würde ich zuerst mal prüfen, ob die aktuellste BIOS-Version installiert ist.

Das sollte Version 1.10 vom 27.07.2017 sein für "P5320 E" (gibt dafür zwei MSN-Nummern: 10020344 oder 10020407).

Ich habe aber gerade mal was ausprobiert:
Der Fehler "- Error : No Memory Allocated!! a1 - Error: BIOS does not support ME Entire Firmware update." erscheint bei mir, wenn ich das Tool "bioh110h4_cm2_ime_w10.exe" erneut ausführe bei derzeitiger Jumper-Stellung auf 1-2 (Intel ME läuft also normal)!

Könnte es sein, dass der Jumper nicht richtig gesetzt wurde (vielleicht kein Kontakt)?

Das Intel Detection Tool meldet einen Fehler bei der Jumper-Stellung auf 2-3 (weiß nicht mehr was genau, glaube irgendwas von "nicht erkannt" oder so). Bei Jumper-Stellung auf 1-2 meldet es "System hat Sicherheitslücken" oder "System wurde bereits gepatcht".

So kannst du das überprüfen. (Im BIOS wird bei Jumper auf 2-3 für die ME-Version 0.0.0.0 angezeigt)

Re: C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Kill_Bill — Sat, 02 Dec 2017 07:29:42 GMT

@KlausX

Vielleicht soll man zuvor den Treiber für die Intel_ME aktualisieren. Ich habe das ein paar Tagen zuvor schon einmal getan.

Dazu im Gerätemanager unter Systemgeräte die Intel_ME suchen und auf Treiber automatisch aktualisieren lassen klicken.