Riskante Intel Management Engine Lücke: CVE-2017-5689

Originalartikel von Vít Šembera, Threat Researcher

Intel veröffentlichte kürzlich ein Security Advisory, in dem mehrere Sicherheitslücken in der Management Engine (ME) beschrieben sind. Das Advisory liefert für ME, Trusted Execution Technology (TXT) und Server Platform Services (SPS) kritische Firmware-Updates für die Versionen 8.X-11.X, die mehrere CVE IDs mit CVSS-Werten zwischen 6.7 und 8.2 abdecken. Es gibt aber eine weitere Sicherheitslücke, die vor allem für Unternehmenscomputer und -netzwerke ein noch höheres Risiko bedeuten kann: CVE-2017-5689, eine Privilege-Escalation-Lücke.

Es bedarf bestimmter Faktoren und/oder Trigger, doch können Angreifer bei Erfolg über die Lücke Adminzugriff erlangen und dann aus der Ferne angreifbare Systeme neu starten oder abschalten. Das Sicherheitsproblem wird auch „Silent Bob is Silent” genannt. Im Vergleich zu der  kürzlich erkannten ME-Sicherheitslücke wurde CVE-2017-5689 einen CVSSv3-Wert von 9.8 zugewiesen. Nähere technische Einzelheiten dazu liefert der Originalbeitrag.

Vorbeugende Maßnahmen

Angesichts der Auswirkungen von CVE-2017-5698, die mit anderen Lücken aus dem neuesten Security Advisory verbunden werden kann, ist Nutzern und Systemadministratoren ein Update und das Patchen ihrer MEs zu empfehlen. Des Weiteren helfen Best Practices der Gefahr zu begegnen:

  • Sofortiges Update der ME-Firmware
  • Möglichst zeitnahes Update der Intel ME Host-Betriebssystemkomponenten, wie Intel Management Engine Interface Driver, Intel(R) Management & Security Status Software, LMS-Service,
  • Überprüfen der ME-Konfiguration und der Betriebssystemkomponenten; Abschalten/Deaktivieren von nicht benötigten Modulen und Funktionen,
  • Trend Micro hat TippingPoint-Signaturen veröffentlicht, Exploit-Pakete blocken, um Angriffe über das Netzwerk zu verhindern. Achtung: ME ist dennoch vom gehosteten Betriebssystem aus zugänglich. Deshalb ist eine tiefgreifende Verteidigung erforderlich.
  • Blockieren der Ports 16992-1699, beide an den Endpunkten und Firewalls.

Trend Micro™ TippingPoint™-Kunden können zu ihrem Schutz vor Bedrohungen über CVE-2017-5689 folgende MainlineDV-Filter einsetzen:

  • 28214: HTTP: Null response digest
  • 28456: HTTP: Intel Active Management Technology Authentication Bypass Vulnerability

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*