Forum: PC Hard- und Software Ist euer Rechner geschützt vor der Sicherheitslücke CVE-2018-3628 in der Intel Management Engine?

Einfach die Onboard-Netzwerkkarte abschalten und eine USB-Karte 
anhängen..

Beim Linux kann man die Management Module blockieren/entfernen.
Der Zugang zum PCI-Bus muss verhindert werden.

Frank K. schrieb:
> Benutzt Du AMT?
>
> fchk

Das ist erleichtern.
Falls für die Sicherheitslücke AMT notwendig sein sollte habe ich kein 
AMT:

1

sudo ./mei-amt-check 

2

Error: Management Engine refused connection. This probably means you don't have AMT

3

4

lsmod  | grep mei_me

5

mei_me                 36864  0

6

mei                    98304  1 mei_me

7

8

9

cat /var/log/kern.log | grep mei

10

Apr  4 06:12:41 XXXXXXXXXXX kernel: [   11.775062] mei_me 0000:00:16.0: enabling device (0000 -> 0002)

Das könnte dann erklären, dass es kein BIOS Update gibt, da es in dem 
Fall dann nicht nötig wäre. Aber halt nur, wenn sich der Bug nur mit AMT 
ausnutzen lässt.

Danke für den Hinweis da mal nachzuschauen.

Bei meinem NAS müsste ich noch schauen, dessen Mainboard hat einen C236 
Chipsatz.


betroffen schrieb:
> Beim Linux kann man die Management Module blockieren/entfernen.
> Der Zugang zum PCI-Bus muss verhindert werden.

Das würde meines Wissens nach nichts bringen, da die Management Engine 
ja auf einer eigenen CPU außerhalb des Blickfelds des 
Hostbetriebssystems ist.
Die Modultreiber sind meines Wissens nach nur dazu da, auf die 
Management Engine vom Hostsystem aus zum Steuern und Auslesen 
zuzugreifen, ausschalten oder deaktiveren kann man die ME damit nicht 
und obiger Angriff würde ohnehin vom Netz kommen.

> Einfach die Onboard-Netzwerkkarte abschalten und eine USB-Karte
> anhängen..

Ja, da wäre eine machbare Lösung.
Geht's auch mit PCIe Netzwerkkarten ohne Intel Chipsatz?

A. K. schrieb:
> Wie es um die Sicherheit solcher BMC/DRAC/LOM/RSA/IMM/... Managements
> bestellt ist, wissen die Götter. Jedenfalls gibts dafür recht oft
> Updates, die aber glücklicherweise oft warm durchgeführt werden können.

Das Mainboard meines NAS hat für IPMI und dessen BMC einen separaten 
Ethernetanschluss. Das finde ich noch okay, da ich das in einem 
separaten LAN abtrennen kann und auch so handhabe.

>Gerade IMPI
>funktioniert oft auch über den Hauptanschluss. Ggf wählbar

Die Management Engine kann kein IPv6 (zu gross). IPv4 ist sowieso ein 
Relikt. Mit der Firewall kann man da schon was machen.


IPMI kann man über die Treiber blockieren auch unter Windows10.

Der Angreifer braucht physikalischen Zugriff, sonst geht es nicht, also 
Malware.

A. K. schrieb:

Danke. Ich fühle mich verstanden.

> Ein Relikt, mit dem man im internen Netz in diesem Zusammenhang sehr gut
> leben kann. Wer bitteschön benötigt solches Management per IPv6?

Irgendwann wird es kein IPv4 mehr geben. Das hat auch Altlasten.

Die Verwendung eines IPv6 Tunnels sperrt momentan noch die bösen Jungs 
definitiv aus. Sie können auch nicht schnorcheln.

IPv6 ist total easy. Keine Netzklassen, kein ARP, keine Dienste keine 
Buffer Overflows.

Über Port-Knocking so wird es bei Modems und auch bei der IME gemacht. 
Das könnte man sichtbar machen.

Oder direkt einen BO auf die Treiber der Gigabit Schnittstellen. Dafür 
braucht man dann keine IME mehr. So ist es hier.

Die sozialen Problemgruppen mit kaputtem Elternhaus
machen genau das was sie auch schon immer gemacht haben
also auch schon vor 1000 Jahren:

In ihrer unendlichen Freizeit andere Leute ausspionieren und ausrauben, 
selbstverständlich ohne dabei jemals auf einen grünen Zweig zu kommen.

>Zugriff auf jenes interne Netz, in dem Management ansprechbar ist. Ohne
>interne Segmentierung ist das bei in-band Management das gesamte interne
>Netz. Out-of-band kann man immerhin das Management-Netz relativ einfach
>abtrennen. Aber eben nicht bei den PCs.

Im Serverbereich ist es doch auch notwendig. Wie will man sonst ein 
abgestürztes System retten, Dateien verändern, Neustarten. IPv4 erfüllt 
doch seinen Zweck.

Ja es sind PCs.
Damit habe ich es zu tun und mit Idioten in meinem Umfeld. Die halbe 
Familie sitzt im Knast, die männlichen. Sie können Daten direkt in den 
Impulstransformator der Gigabit-Netzwerkkarte funken. Backspace in die 
Tastatur funken. Unglaublich. Aber wenn man Zeit hat und nix im Kopf...

Für die Allgemeinheit sind sie eine Bedrohung. Sie können nur Schaden 
anrichten. Der Compi ist ihre Waffe.

Diese asozialen Deppen bin ich mit einem IPv6 Tunnel definitiv 
losgeworden. IPv4 gibt es virtuell. Auf dem Smartphone gibt es auch nur 
noch IPv6 und AFWall, damit sind alle Googler im Arsch.

IME nutzen die aber nicht sondern illegales SDR.

Ben B. schrieb:
>> Irgendwann wird es kein IPv4 mehr geben. Das hat auch Altlasten.
> Boooo... irgendwann wird es auch kein IPv6 mehr geben... :)

Ja sicher, wenn man an die Dinos denkt...

Ja schau genau das ist die Macke des Psychos. Er reagiert mit "Naid". 
Naidhardt aus dem Reuenthal, der eine Maus benaidet, weil sie so schönes 
Fell hat.

Wenn einer was weiss, dann ist er weisser als Du. Und das macht ihm 
Aua'- Dann wirft er Dir Sand in die Augen im Kindergarden. Und hinterher 
mit seinem dicke Kopp, kickt er die Colabüchse übern Platz:

"we will rock you"

Mach einfach eine zweite Netzwerkarte ran und dann iss gut.

betroffener schrieb:

> Ja schau genau das ist die Macke des Psychos. Er reagiert mit "Naid".
> Naidhardt aus dem Reuenthal, der eine Maus benaidet, weil sie so schönes
> Fell hat.

> Wenn einer was weiss, dann ist er weisser als Du. Und das macht ihm
> Aua'- Dann wirft er Dir Sand in die Augen im Kindergarden. Und hinterher
> mit seinem dicke Kopp, kickt er die Colabüchse übern Platz:

Noch alle Latten am Zaun oder hat dich das SARS-CoV-2 erwischt?

> ... IT-affine User?

Habe ich die neuste Runde Bullshit-Bingo verpasst? Oder wurden BWLer von 
der Kette gelassen?

Wassa schrieb:

>> Wenn einer was weiss, dann ist er weisser als Du. Und das macht ihm
>> Aua'- Dann wirft er Dir Sand in die Augen im Kindergarden. Und hinterher
>> mit seinem dicke Kopp, kickt er die Colabüchse übern Platz:
>
> Noch alle Latten am Zaun oder hat dich das SARS-CoV-2 erwischt?

SARS hab ich schon hinter mir. Man kann es aber öfter kriegen so wie 
Grippe.

Mir ist es wurscht aber die Gesellschaft krankt am Psychoheini.

Wenn man was Praktisches macht, dann geht es weg - wenn man in die Luft 
glotzt wird es schlimmer.

Neid ist ein Geständnis: Ich bin blöde!

Vn N. schrieb:
> Tja, der Moment, wo auf deinem Intel-Mainboard einfach noch ein
> Microcontroller mit eigenem OS sitzt, der sogar HTTP spricht.

Der Tod eines strikten Sicherheitskonzept auf der OS Ebene die auf der 
Festplatte läuft.
Was bringt es wenn ich mein OS maximal abhärte, wenn auf dem Mainboard 
weitere komplexe netzwerkfähige Programme laufen, auf die ich 
normalerweise keinen Zugang habe?

Für den gewöhnlichen PC Nutzer mag es wenig relevant sein. Aber wenn ich 
kritische Netzwerke schützen will, würde ich definitiv keine 
gewöhnlichen Mainboards einsetzen bzw. man kommt nicht drum herum das 
Netzwerk vollständig vom Internet abzuschotten.


Fehlt noch dass auf dem Mainboard jenseits der Kontrolle des Users 
irgendwelche Funkmodule arbeiten.
Dann muss ich die kritischen Bereiche vermutlich noch mit einem 
faradayschen Käfig schützen :D
Anderseits könnte ich nicht mit reinem Gewissen sagen dass das Netzwerk 
sicher ist.

In Zukunft muss man einen sicheren Computer vom Internet trennen und es 
mit Alufolie umwickeln :D