Seite 1 von 1
Intel-SA-00086 / Was ist ein Corporate SKU?
Verfasst: 04.02.2019 17:09:46
von linuxfandebian
Hallo!
ich habe mir das
Intel-SA-00086 Erkennungstool zur Diagnose heruntergeladen. Es zeigt an:
Code: Alles auswählen
INTEL-SA-00086 Detection Tool
Copyright(C) 2017-2018, Intel Corporation, All rights reserved.
Application Version: 1.2.7.0
Scan date: 2019-02-03 08:02:28 GMT
*** Host Computer Information ***
Name: debian
Manufacturer: CLEVO CO.
Model: W55xEU
Processor Name: Intel(R) Core(TM) i5-3210M CPU @ 2.50GHz
OS Version: debian 9.7 (4.9.0-8-amd64)
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 8.1.0.1265
SVN: 0
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
is considered vulnerable for INTEL-SA-00086.
Contact your system manufacturer for support and remediation of this system.
For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
Intel Security Advisory Intel-SA-00086 at the following link:
https://www.intel.com/sa-00086-support
Gemäß dem Test "This system is vulnerable"
Nach der Dokumentation zum Intel-SA-00086 Erkennungstool sollen aber nur
Corporate SKUs vulnerable sein.
Meine Frage ist, woran erkenne ich, ob ich einen Corporate SKU habe?
Re: Intel-SA-00086 / Was ist ein Corporate SKU?
Verfasst: 04.02.2019 23:41:45
von hikaru
"Corporate SKUs" sind wohl die Business-CPUs, also Xeons, während die Endkundenprodukte eben so heißen: "Consumer SKUs"
Intels ME ist in allen Chipsätzen seit Nehalem enthalten. Intel behauptet, dass die Funktionalität der ME u.a. von diversen Sicherungen abhängt, von denen Intel bei Consumer SKUs einige absichtlich durchbrennt um die Funktionalität der ME einzuschränken. Diese durchgebrannten Sicherungen sollen dann als Nebeneffekt gewisse Angriffszenarien in's Leere laufen lassen.
Manch einer zweifelt an Intels Darstellung:
https://semiaccurate.com/2017/05/03/con ... t-exploit/
Re: Intel-SA-00086 / Was ist ein Corporate SKU?
Verfasst: 05.02.2019 18:43:17
von linuxfandebian
Danke für die Antwort.
Das o.g. Notebook habe ich Anfang 2013 ohne Betriebssystem gekauft und hatte stets linux installiert. Da ich vermutlich kein ME- bzw. BIOS-update mehr bekommen werde, dürfte der Rechner mithin weiter angreifbar sein.
Wäre es dann sinnvoll, besser einen neuen Rechner zu kaufen oder kann man das Risiko unter linux noch vertreten?
Re: Intel-SA-00086 / Was ist ein Corporate SKU?
Verfasst: 06.02.2019 11:08:17
von hikaru
linuxfandebian hat geschrieben: 
05.02.2019 18:43:17
Das o.g. Notebook habe ich Anfang 2013 ohne Betriebssystem gekauft und hatte stets linux installiert. Da ich vermutlich kein ME- bzw. BIOS-update mehr bekommen werde, dürfte der Rechner mithin weiter angreifbar sein.
Das wird vermutlich so sein.
linuxfandebian hat geschrieben: 05.02.2019 18:43:17
Wäre es dann sinnvoll, besser einen neuen Rechner zu kaufen oder kann man das Risiko unter linux noch vertreten?
Die Frage ist unabhängig vom Betriebssystem und sogar unabhängig vom BIOS. Die ME arbeitet noch eine Stufe tiefer.
Ob Ersatz aus Sicherheitsgründen sinnvoll ist, hängt auch vom Ersatzgerät und dem betrachteten Angriffsszenario ab. Praktisch alle denkbaren Ersatzgeräte haben ebenfalls eine ME oder AMDs Pendant namens PSP. Ich erinnere mich dunkel an Bestrebungen von Purism, System76 und Tuxedo, Geräte mit von Hause aus deaktivierter ME zu liefern, aber da bin ich nicht auf dem Laufenden.
Da die ME aber gebraucht wird, um die CPU überhaupt (stabil) betreiben zu können und Intel für ein paar Klitschen sicher keine eigene Produktionslinie fahren wird, macht diese "Deakivierung" sicher nicht mehr, als der ME Cleaner, welcher eigentlich nur ein paar Funktionen aus der ME herauspatchen soll.
Das mag gegen Angriffe von Dritten helfen, erfordert aber weiterhin, dass du Intel (bzw. AMD) grundsätzlich vertraust, keinen Schindluder zu treiben.