1 2 Previous Next 16 Replies Latest reply on Jan 15, 2018 9:26 AM by _Mel_

    Intel AMT Firmwareupdate im Enterpriseumfeld

    Rookie
      Hallo zusammen,

      ich denke jeder hat in den letzten Tagen die Meldung von BSI bzgl Sicherheitslücke im Intel AMT gelesen. Um die Lücke zu schließen stellt Intel ein entsprechendes Firmwareupdate bereit.

      Meine ersten Tests haben gezeigt, dass ältere noch verfügbare AMT Firmwareupdates alles andere als enterprisefähig sind. Das Setup ist hat keinen "silent" Schalter und wird nach Bestätigung der einzelnen Wizardschritte und dem anschließenden Firmwareupdate mit einem harten Reboot beendet.

      Bei einer fünfstelligen Zahl an betroffenen Clients graut es mir ein wenig.

      Hat jemand Erfahrungen mit dem Rollout solcher Updates gemacht? Wie geht Ihr damit um?

      Gruß

      Mario
        • 1. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
          KaiNitzsche Apprentice
          Hi.

          Bist du dir sicher das du ein Update von Intel bekommst? Meines Wissens müssen die OEMs doch BIOS-Updates nachliefern, um die Lücke zu stopfen.

          Ich habe heute, zufälligerweise, mal über unsere Clients das Intel-Analysetool für die Sicherheitslücke (SA-00075) ausgerollt. Das Vorabfazit: Bis auf einige Uralt-PCs, sind praktisch alle Gerätereihen (Laptops, PC, Workstations, Tablets) von allen Herstellern (bei uns vorrangig Dell und Fujitsu) betroffen.

          Eine Idee für das weitere Vorgehen habe ich noch nicht. Im Statement-PDF von Dell steht als Releasedatum der zu veröffentlichen BIOSe der 17.05.2017. Ob diese ab dem Tag auch verfügbar sind, steht ja noch auf einem anderen Blatt. Aktuell kann ich von der Seite her eh nichts tun.


          Gruß Kai
          • 2. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
            SitzRieSe Expert
            Habt ihr denn die Fernwartungsfunktion vom AMT konfiguriert? Ist zwar ärgerlich, sehe diese Lücke aber nicht als kritisch, da wir das AMT nicht nutzen und es nicht konfiguriert ist.

            Gruß

            Alex
            • 3. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
              KaiNitzsche Apprentice
              Konfiguriert ist bei uns in der Richtung nix, ich wollte ja auch nur erst einmal belastbare Zahlen. Nicht das man sich verrückt macht und man ist zum Schluss nicht betroffen. Inwieweit wir etwas unternehmen, muss ich eh noch intern klären.


              Gruß Kai
              • 4. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                Rookie
                Wir haben es auch nicht aktiviert. Das reicht leider nicht aus, so lange der AMT nicht mit einem Passwort konfiguriert/gesichert ist. Über gebooteten USB Stick/Script kann man den AMT wohl auch aktivieren. Wir werden wohl das Update durchführen müssen.

                Von Lenovo und Fujitsu haben wir die Info das es vsl auf eine Firmwareupdate des AMT hinausläuft.

                Gruß Mario
                • 5. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                  schurl85 Apprentice
                  solange die AMT Software in Windows nicht installiert ist, kann bei einem nicht aktivierten AMT nichts passieren, da die AMT Ports nicht offen sind.

                  --> solange nichts konfiguriert ist und auch die zugehörige Software (LMS Service) in Windows (Treiber ausgenommen) nicht installiert ist, hat man kein Problem.
                  • 6. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                    Rookie
                    Das wäre interessant! Hast du einen offiziellen Artikel mit dem ich das intern bei uns untermauern kann?

                    Gruß

                    Mario
                    • 7. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                      schurl85 Apprentice
                      https://www.tenable.com/blog/rediscovering-the-intel-amt-vulnerability


                      The first thing our research team tried was to set up a known vulnerable target. After some searching, we found a Dell computer that had Intel AMT support but there was a problem. It was not configured/provisioned for what we needed.

                      The Intel Management Engine Interface (MEI) driver was installed but the Local Management Service (LMS) was not. Intel AMT documentation says the AMT configuration tool ACUWizard.exe requires LMS to be running.

                      So we searched and found a software package for installing LMS on the vendor's website. After LMS was installed, we were able to configure/provision AMT on the computer, giving us access to AMT via the web interface.



                      bedeutet, wenn das LMS Service installiert ist, kann man AMT aktivieren und hat dann die Vulnerability.

                      --> AMT im BIOS nicht konfiguriert --> kein Problem
                      --> kein LMS Service in Windows --> AMT kann in Windows nicht konfiguriert werden --> kein Problem

                      steht aber auch noch so ungefähr auf anderen Webseiten. Und ob ein System schon die Vulnerability hat, kannst du mit einem Portscan herausfinden.


                      Aber hier steht es sogar von Intel selbst im Mitigation Guide

                      https://downloadmirror.intel.com/26754/eng/Intel-SA-00075%20Mitigation%20Guide-Rev%201.2.pdf
                      • 8. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                        KaiNitzsche Apprentice
                        Das Schöne ist wohl, das die OEMs jetzt wohl Schnellschüsse bei den BIOS-Updates hinlegen. Durch Zufall habe ich heute das letzte BIOS (16.05.2017) auf einem unseren Dell Latitude 2-in-1 installiert und siehe da, der UEFI LAN Boot funktioniert nicht mehr. Erst danach habe ich festgestellt, das das Update besagte Sicherheitslücke schließen soll. Will jemand von euch BIOS-Updates machen, testet gründlich durch. Nicht das hinterher größere Probleme vorhanden sind als vorneweg.


                        Gruß und schönes Wochenende
                        Kai
                        • 9. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                          MarkusMichalski Specialist
                          Moin,

                          Das Schöne ist wohl, das die OEMs jetzt wohl Schnellschüsse bei den BIOS-Updates hinlegen. Durch Zufall habe ich heute das letzte BIOS (16.05.2017) auf einem unseren Dell Latitude 2-in-1 installiert und siehe da, der UEFI LAN Boot funktioniert nicht mehr.


                          stimmt - ich mühe mich gerade mit BIOS Downgrades herum, damit auf dem Latitude 7470 der TPM 1.2 wieder läuft und Bitlocker zufrieden ist. Grausam...
                          • 10. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                            stephang Apprentice

                            Ich muss den Thread nochmal hochholen.

                             

                            Letzter heise Artikel:

                            Intel AMT: Exploit hebelt Zugangsschutz von Firmen-Notebooks aus | heise online

                             

                            Ich würde gerne ein BIOS Update/Intel ME Firmware Update samt Provisionierung mit kompliziertem Passwort machen.

                            Hat das schon mal jemand gemacht?

                             

                            Ich benutzt nun HP SSM zum BIOS ausbringen. Und würde auf Intel SCS für die Provisionierung zurückgreifen.

                            Am liebsten würde ich allerdings eine Firmware aufspielen, die einfach die komplette Funktion zerstört. Braucht kein Mensch.

                             

                            Grüße

                            Stephan

                            • 11. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                              SitzRieSe Expert

                              Ja,

                               

                              für welche Geräte denn?

                               

                              Gruß

                               

                              Alex

                              • 12. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                                stephang Apprentice

                                Ich versuche mich im Moment am 840 G3. Generell aber alle Geräte ab zBook14+

                                Habe nun den Intel SCS heruntergeladen und schaue es mir mal an.

                                 

                                Für die BIOS Provisionierung muss ich natürlich nochmal ein anderes Tool benutzen. Aber eins nach dem anderen

                                • 13. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                                  SitzRieSe Expert

                                  Ah, also HP. Perfekt

                                   

                                  Hier mein Skript:

                                   

                                  !- Variables for Installation

                                  !

                                  Set('SetupFile','HPBIOSUPDREC.exe')

                                  Set('SetupFile64','HPBIOSUPDREC64.exe')

                                  Set('SetupParameter','-s -r -b -f ".\Extern$\%BIOSFile%" -p ".\Extern$\PW.bin"')

                                  Set('BIOSFile','N75_0122.bin')

                                  !

                                  !==============================================

                                  !Pre Installation Check

                                  !

                                  Set('BIOSVersion','N75 Ver. 01.22')

                                  !

                                  !==============================================

                                  Set('CheckAllowed','0')

                                  !

                                  If not CheckInstallMode(imReinstall)

                                  Set('CheckAllowed','1')

                                  !

                                  If CheckInstallMode(imUpdate)

                                  Set('CheckAllowed','1')

                                  !

                                  If CheckInstallMode(imUninstall)

                                  Set('CheckAllowed','0')

                                  !

                                  If %CheckAllowed%='1'

                                  RegReadValueEx('HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS','BIOSVersion','ProgVersion',reUseX64Hive)

                                  If %ProgVersion%='%BIOSVersion%'

                                    ExitProcEx(Done,'%CurrentPackage.Object.Name% was already installed!')

                                  !==============================================

                                  !Installation Part

                                  Set('exitcode','0')

                                  !

                                  If CheckPlatform(cpWinx64)

                                  ExecuteEx('.\Extern$\%SetupFile64% %SetupParameter%','exitcode','120')/?/TS

                                  If not %exitcode%='0'

                                    If not %exitcode%='3010'

                                     ExitProcEx(Failed,'The Setup %SetupFile% failed with %exitcode%')

                                  Else

                                  ExecuteEx('.\Extern$\%SetupFile% %SetupParameter%','exitcode','120')/?/TS

                                  If not %exitcode%='0'

                                    If not %exitcode%='3010'

                                     ExitProcEx(Failed,'The Setup %SetupFile% failed with %exitcode%')

                                  !

                                  : $BeginReinstallScript

                                  !

                                  : $BeginUninstallScript

                                   

                                  ---

                                   

                                  in der PW.bin ist das BIOS Passwort hinterlegt, die kannst du mit dem Tool HPQPswd.exe erstellen. Wenn du danach googlest solltest du fündig werden.

                                   

                                  Das Skript liest aus der Registry Version die BIOS Version aus und vergleicht diese. Ist das BIOS in der gleichen Version, geht das Paket auf grün.

                                   

                                  Gruß

                                   

                                  Alex

                                  • 14. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                                    stephang Apprentice

                                    Wow. Perfekt. Vielen Dank.

                                     

                                    Ja das Tool ist mir schon beim HP SSM über den Weg gelaufen.

                                    1 2 Previous Next