Welche auch Teil der INTEL-SA-00112 Meldung ist? Der Bug ist zugegebenermaßen schon etwas älter, aber nicht weniger schlimm als Spectre und Meltdown. Immerhin lässt er sich aus dem gleichen Subnetz remote ausnutzen und beliebigen Code auf dem eigenen Rechner ausführen. https://nvd.nist.gov/vuln/detail/CVE-2018-3628?cpeVersion=2.2 Was mich hier aber besonders ärgert ist, dass ich bis heute für diese Sicherheitslücke kein Firmware Update von ASUS für mein Mainboard angeboten bekam, obwohl Intel selbst noch Updates für nicht alle, aber zumindest einige ältere Prozessoren an die Mainboardhersteller herausgab, die deutlich älter sind als mein Mainboard. https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00112.html Zudem bekam ich für Spectre und Meltdown noch ein BIOS Update, was sicherlich dem Aufschrei in den Medien geschuldet ist, aber da dieser Bug gerade einmal 7 Monate später als Spectre und Meltdown publik wurde, hätte hier ASUS durchaus auch noch ein Update herausbringen können. Wie sieht es bei euren Rechnern aus, habt ihr einen Fix für die CVE-2018-3628 Sicherheitslücke für euer Mainboard erhalten?
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Benutzt Du AMT? fchk
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Tja, der Moment, wo auf deinem Intel-Mainboard einfach noch ein Microcontroller mit eigenem OS sitzt, der sogar HTTP spricht.
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Für den HP Compaq 6200 von 2011 gab es 2017 einen ME-Fix für den Vorgängerbug INTEL-SA-00075 / CVE-2017-5689. Das letzte BIOS ist von 2019 für Microcode. Auch beim HP EliteBook 8440p von 2010 wurde der 2017-er ME-Bug noch behoben. Die Prozessorliste in Intels Notiz zum 2018-er Bug legt nahe, dass diese gut abgehangenen Geräte gegen den 2018-er Bug immun sind, also keinen Fix brauchen. ;-)
:
Bearbeitet durch User
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Einfach die Onboard-Netzwerkkarte abschalten und eine USB-Karte anhängen.. Beim Linux kann man die Management Module blockieren/entfernen. Der Zugang zum PCI-Bus muss verhindert werden.
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Frank K. schrieb: > Benutzt Du AMT? > > fchk Das ist erleichtern. Falls für die Sicherheitslücke AMT notwendig sein sollte habe ich kein AMT:
1 | sudo ./mei-amt-check |
2 | Error: Management Engine refused connection. This probably means you don't have AMT |
3 | |
4 | lsmod | grep mei_me |
5 | mei_me 36864 0 |
6 | mei 98304 1 mei_me |
7 | |
8 | |
9 | cat /var/log/kern.log | grep mei |
10 | Apr 4 06:12:41 XXXXXXXXXXX kernel: [ 11.775062] mei_me 0000:00:16.0: enabling device (0000 -> 0002) |
Das könnte dann erklären, dass es kein BIOS Update gibt, da es in dem Fall dann nicht nötig wäre. Aber halt nur, wenn sich der Bug nur mit AMT ausnutzen lässt. Danke für den Hinweis da mal nachzuschauen.
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Bei meinem NAS müsste ich noch schauen, dessen Mainboard hat einen C236 Chipsatz. betroffen schrieb: > Beim Linux kann man die Management Module blockieren/entfernen. > Der Zugang zum PCI-Bus muss verhindert werden. Das würde meines Wissens nach nichts bringen, da die Management Engine ja auf einer eigenen CPU außerhalb des Blickfelds des Hostbetriebssystems ist. Die Modultreiber sind meines Wissens nach nur dazu da, auf die Management Engine vom Hostsystem aus zum Steuern und Auslesen zuzugreifen, ausschalten oder deaktiveren kann man die ME damit nicht und obiger Angriff würde ohnehin vom Netz kommen. > Einfach die Onboard-Netzwerkkarte abschalten und eine USB-Karte > anhängen.. Ja, da wäre eine machbare Lösung. Geht's auch mit PCIe Netzwerkkarten ohne Intel Chipsatz?
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Was meinst Du, warum die Hersteller von anständigen Serverboards niemals den im Chipsatz enthaltenen MAC (wird als i219LM bezeichnet, aber das ist eigentlich nur der externe PHY) verwendet wird, sondern immer i210/i211 oder i350AM2/AM4 oder so? Der ME-Prozessor braucht ja einen Kanal, um irgendwie nach Hause telefonieren zu können, und das kann er nur über den Chipsatz-MAC. Wenn Du eine (auch-Intel) PCIe-Karte verwendest, bist Du aus der Nummer raus. fchk
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Wobei anständige Serverboards über ein Management-System vergleichbar zu ME verfügen, das nicht immer nur über einen separaten Ethernet-Anschluss angesprochen werden kann, sondern optional auch in-band über Mitnutzung des Mainboard-Ethernets. Einen Seitenkanalausgang haben also offenbar auch diese separaten Ethernet-Adapter. Wie es um die Sicherheit solcher BMC/DRAC/LOM/RSA/IMM/... Managements bestellt ist, wissen die Götter. Jedenfalls gibts dafür recht oft Updates, die aber glücklicherweise oft warm durchgeführt werden können.
:
Bearbeitet durch User
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
A. K. schrieb: > Wie es um die Sicherheit solcher BMC/DRAC/LOM/RSA/IMM/... Managements > bestellt ist, wissen die Götter. Jedenfalls gibts dafür recht oft > Updates, die aber glücklicherweise oft warm durchgeführt werden können. Das Mainboard meines NAS hat für IPMI und dessen BMC einen separaten Ethernetanschluss. Das finde ich noch okay, da ich das in einem separaten LAN abtrennen kann und auch so handhabe.
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Nano schrieb: > Das Mainboard meines NAS hat für IPMI und dessen BMC einen separaten > Ethernetanschluss. Einen separaten Anschluss dafür zu haben bedeutet nicht notwendigerweise, dass es nur darüber möglich ist. Gerade IMPI funktioniert oft auch über den Hauptanschluss. Ggf wählbar. Ein separater Anschluss ist natürlich klar besser, da man das Management-Netz dann abtrennen kann, was der Sicherheit sehr förderlich ist. Aber eine bestehende in-band Option bedeutet, dass zumindest technisch ein Kanal zwischen Hauptanschluss und BMC besteht.
:
Bearbeitet durch User
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
>Gerade IMPI >funktioniert oft auch über den Hauptanschluss. Ggf wählbar Die Management Engine kann kein IPv6 (zu gross). IPv4 ist sowieso ein Relikt. Mit der Firewall kann man da schon was machen. IPMI kann man über die Treiber blockieren auch unter Windows10. Der Angreifer braucht physikalischen Zugriff, sonst geht es nicht, also Malware.
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
betroffener schrieb: > Die Management Engine kann kein IPv6 (zu gross). IPv4 ist sowieso ein > Relikt. Ein Relikt, mit dem man im internen Netz in diesem Zusammenhang sehr gut leben kann. Wer bitteschön benötigt solches Management per IPv6? > Mit der Firewall kann man da schon was machen. Aber nicht mit der im Gerät selbst, denn die kriegt das nicht mit, weil unterhalb ihrer Wahrnehmungsschwelle. Und jedem Server einen eigenen Port einer separaten Firewall zu spendieren, damit sich die nicht gegenseitig kapern können, ist nur sinnvoll machbar, wenn eine Virtualisierungsplattform diese Firewall stellt. > IPMI kann man über die Treiber blockieren auch unter Windows10. Man kann in-band Management komplett abschalten. Aber dann gibts halt auch kein in-band Remote-Management mehr. Bei Servern ist das aber kein Problem, weil man das separate Management-Interface nutzt, statt in-band. Bei PCs hätte man in manchen Enterprise-Umgebungen aber schon gerne in-band AMT. > Der Angreifer braucht physikalischen Zugriff, sonst geht es nicht, also > Malware. Zugriff auf jenes interne Netz, in dem Management ansprechbar ist. Ohne interne Segmentierung ist das bei in-band Management das gesamte interne Netz. Out-of-band kann man immerhin das Management-Netz relativ einfach abtrennen. Aber eben nicht bei den PCs. Die traditionelle Vorstellung vom sicheren internen und unsicheren externen Netz ist nicht mehr ganz aktuell. Auch interne Netze sind nicht a priori sicher, egal wie gut die Perimeter-Firewall ist.
:
Bearbeitet durch User
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
A. K. schrieb: Danke. Ich fühle mich verstanden. > Ein Relikt, mit dem man im internen Netz in diesem Zusammenhang sehr gut > leben kann. Wer bitteschön benötigt solches Management per IPv6? Irgendwann wird es kein IPv4 mehr geben. Das hat auch Altlasten. Die Verwendung eines IPv6 Tunnels sperrt momentan noch die bösen Jungs definitiv aus. Sie können auch nicht schnorcheln. IPv6 ist total easy. Keine Netzklassen, kein ARP, keine Dienste keine Buffer Overflows. Über Port-Knocking so wird es bei Modems und auch bei der IME gemacht. Das könnte man sichtbar machen. Oder direkt einen BO auf die Treiber der Gigabit Schnittstellen. Dafür braucht man dann keine IME mehr. So ist es hier. Die sozialen Problemgruppen mit kaputtem Elternhaus machen genau das was sie auch schon immer gemacht haben also auch schon vor 1000 Jahren: In ihrer unendlichen Freizeit andere Leute ausspionieren und ausrauben, selbstverständlich ohne dabei jemals auf einen grünen Zweig zu kommen. >Zugriff auf jenes interne Netz, in dem Management ansprechbar ist. Ohne >interne Segmentierung ist das bei in-band Management das gesamte interne >Netz. Out-of-band kann man immerhin das Management-Netz relativ einfach >abtrennen. Aber eben nicht bei den PCs. Im Serverbereich ist es doch auch notwendig. Wie will man sonst ein abgestürztes System retten, Dateien verändern, Neustarten. IPv4 erfüllt doch seinen Zweck. Ja es sind PCs. Damit habe ich es zu tun und mit Idioten in meinem Umfeld. Die halbe Familie sitzt im Knast, die männlichen. Sie können Daten direkt in den Impulstransformator der Gigabit-Netzwerkkarte funken. Backspace in die Tastatur funken. Unglaublich. Aber wenn man Zeit hat und nix im Kopf... Für die Allgemeinheit sind sie eine Bedrohung. Sie können nur Schaden anrichten. Der Compi ist ihre Waffe. Diese asozialen Deppen bin ich mit einem IPv6 Tunnel definitiv losgeworden. IPv4 gibt es virtuell. Auf dem Smartphone gibt es auch nur noch IPv6 und AFWall, damit sind alle Googler im Arsch. IME nutzen die aber nicht sondern illegales SDR.
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
> Irgendwann wird es kein IPv4 mehr geben. Das hat auch Altlasten.
Boooo... irgendwann wird es auch kein IPv6 mehr geben... :)
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Ben B. schrieb: >> Irgendwann wird es kein IPv4 mehr geben. Das hat auch Altlasten. > Boooo... irgendwann wird es auch kein IPv6 mehr geben... :) Ja sicher, wenn man an die Dinos denkt... Ja schau genau das ist die Macke des Psychos. Er reagiert mit "Naid". Naidhardt aus dem Reuenthal, der eine Maus benaidet, weil sie so schönes Fell hat. Wenn einer was weiss, dann ist er weisser als Du. Und das macht ihm Aua'- Dann wirft er Dir Sand in die Augen im Kindergarden. Und hinterher mit seinem dicke Kopp, kickt er die Colabüchse übern Platz: "we will rock you" Mach einfach eine zweite Netzwerkarte ran und dann iss gut.
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
betroffener schrieb: > Ja schau genau das ist die Macke des Psychos. Er reagiert mit "Naid". > Naidhardt aus dem Reuenthal, der eine Maus benaidet, weil sie so schönes > Fell hat. > Wenn einer was weiss, dann ist er weisser als Du. Und das macht ihm > Aua'- Dann wirft er Dir Sand in die Augen im Kindergarden. Und hinterher > mit seinem dicke Kopp, kickt er die Colabüchse übern Platz: Noch alle Latten am Zaun oder hat dich das SARS-CoV-2 erwischt?
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
> ... IT-affine User?
Habe ich die neuste Runde Bullshit-Bingo verpasst? Oder wurden BWLer von
der Kette gelassen?
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Wassa schrieb: >> Wenn einer was weiss, dann ist er weisser als Du. Und das macht ihm >> Aua'- Dann wirft er Dir Sand in die Augen im Kindergarden. Und hinterher >> mit seinem dicke Kopp, kickt er die Colabüchse übern Platz: > > Noch alle Latten am Zaun oder hat dich das SARS-CoV-2 erwischt? SARS hab ich schon hinter mir. Man kann es aber öfter kriegen so wie Grippe. Mir ist es wurscht aber die Gesellschaft krankt am Psychoheini. Wenn man was Praktisches macht, dann geht es weg - wenn man in die Luft glotzt wird es schlimmer. Neid ist ein Geständnis: Ich bin blöde!
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
> SARS hab ich schon hinter mir.
Au Scheiße, damit hast Du bewiesen, daß doch Spätfolgen zurückbleiben.
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Vn N. schrieb: > Tja, der Moment, wo auf deinem Intel-Mainboard einfach noch ein > Microcontroller mit eigenem OS sitzt, der sogar HTTP spricht. Der Tod eines strikten Sicherheitskonzept auf der OS Ebene die auf der Festplatte läuft. Was bringt es wenn ich mein OS maximal abhärte, wenn auf dem Mainboard weitere komplexe netzwerkfähige Programme laufen, auf die ich normalerweise keinen Zugang habe? Für den gewöhnlichen PC Nutzer mag es wenig relevant sein. Aber wenn ich kritische Netzwerke schützen will, würde ich definitiv keine gewöhnlichen Mainboards einsetzen bzw. man kommt nicht drum herum das Netzwerk vollständig vom Internet abzuschotten. Fehlt noch dass auf dem Mainboard jenseits der Kontrolle des Users irgendwelche Funkmodule arbeiten. Dann muss ich die kritischen Bereiche vermutlich noch mit einem faradayschen Käfig schützen :D Anderseits könnte ich nicht mit reinem Gewissen sagen dass das Netzwerk sicher ist.
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
In Zukunft muss man einen sicheren Computer vom Internet trennen und es mit Alufolie umwickeln :D
Re: Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine
Hugi1 schrieb: > In Zukunft muss man einen sicheren Computer vom Internet trennen und es > mit Alufolie umwickeln :D Es wird wohl reichen, den Computer damit zu umwickeln, nicht das Internet.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.