9 Replies Latest reply on May 19, 2017 7:47 AM by MarkusMichalski

    Intel AMT Firmwareupdate im Enterpriseumfeld

    MarioK Rookie
      Hallo zusammen,

      ich denke jeder hat in den letzten Tagen die Meldung von BSI bzgl Sicherheitslücke im Intel AMT gelesen. Um die Lücke zu schließen stellt Intel ein entsprechendes Firmwareupdate bereit.

      Meine ersten Tests haben gezeigt, dass ältere noch verfügbare AMT Firmwareupdates alles andere als enterprisefähig sind. Das Setup ist hat keinen "silent" Schalter und wird nach Bestätigung der einzelnen Wizardschritte und dem anschließenden Firmwareupdate mit einem harten Reboot beendet.

      Bei einer fünfstelligen Zahl an betroffenen Clients graut es mir ein wenig.

      Hat jemand Erfahrungen mit dem Rollout solcher Updates gemacht? Wie geht Ihr damit um?

      Gruß

      Mario
        • 1. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
          KaiNitzsche Apprentice
          Hi.

          Bist du dir sicher das du ein Update von Intel bekommst? Meines Wissens müssen die OEMs doch BIOS-Updates nachliefern, um die Lücke zu stopfen.

          Ich habe heute, zufälligerweise, mal über unsere Clients das Intel-Analysetool für die Sicherheitslücke (SA-00075) ausgerollt. Das Vorabfazit: Bis auf einige Uralt-PCs, sind praktisch alle Gerätereihen (Laptops, PC, Workstations, Tablets) von allen Herstellern (bei uns vorrangig Dell und Fujitsu) betroffen.

          Eine Idee für das weitere Vorgehen habe ich noch nicht. Im Statement-PDF von Dell steht als Releasedatum der zu veröffentlichen BIOSe der 17.05.2017. Ob diese ab dem Tag auch verfügbar sind, steht ja noch auf einem anderen Blatt. Aktuell kann ich von der Seite her eh nichts tun.


          Gruß Kai
          • 2. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
            SitzRieSe Expert
            Habt ihr denn die Fernwartungsfunktion vom AMT konfiguriert? Ist zwar ärgerlich, sehe diese Lücke aber nicht als kritisch, da wir das AMT nicht nutzen und es nicht konfiguriert ist.

            Gruß

            Alex
            • 3. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
              KaiNitzsche Apprentice
              Konfiguriert ist bei uns in der Richtung nix, ich wollte ja auch nur erst einmal belastbare Zahlen. Nicht das man sich verrückt macht und man ist zum Schluss nicht betroffen. Inwieweit wir etwas unternehmen, muss ich eh noch intern klären.


              Gruß Kai
              • 4. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                MarioK Rookie
                Wir haben es auch nicht aktiviert. Das reicht leider nicht aus, so lange der AMT nicht mit einem Passwort konfiguriert/gesichert ist. Über gebooteten USB Stick/Script kann man den AMT wohl auch aktivieren. Wir werden wohl das Update durchführen müssen.

                Von Lenovo und Fujitsu haben wir die Info das es vsl auf eine Firmwareupdate des AMT hinausläuft.

                Gruß Mario
                • 5. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                  schurl85 Apprentice
                  solange die AMT Software in Windows nicht installiert ist, kann bei einem nicht aktivierten AMT nichts passieren, da die AMT Ports nicht offen sind.

                  --> solange nichts konfiguriert ist und auch die zugehörige Software (LMS Service) in Windows (Treiber ausgenommen) nicht installiert ist, hat man kein Problem.
                  • 6. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                    MarioK Rookie
                    Das wäre interessant! Hast du einen offiziellen Artikel mit dem ich das intern bei uns untermauern kann?

                    Gruß

                    Mario
                    • 7. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                      schurl85 Apprentice
                      https://www.tenable.com/blog/rediscovering-the-intel-amt-vulnerability


                      The first thing our research team tried was to set up a known vulnerable target. After some searching, we found a Dell computer that had Intel AMT support but there was a problem. It was not configured/provisioned for what we needed.

                      The Intel Management Engine Interface (MEI) driver was installed but the Local Management Service (LMS) was not. Intel AMT documentation says the AMT configuration tool ACUWizard.exe requires LMS to be running.

                      So we searched and found a software package for installing LMS on the vendor's website. After LMS was installed, we were able to configure/provision AMT on the computer, giving us access to AMT via the web interface.



                      bedeutet, wenn das LMS Service installiert ist, kann man AMT aktivieren und hat dann die Vulnerability.

                      --> AMT im BIOS nicht konfiguriert --> kein Problem
                      --> kein LMS Service in Windows --> AMT kann in Windows nicht konfiguriert werden --> kein Problem

                      steht aber auch noch so ungefähr auf anderen Webseiten. Und ob ein System schon die Vulnerability hat, kannst du mit einem Portscan herausfinden.


                      Aber hier steht es sogar von Intel selbst im Mitigation Guide

                      https://downloadmirror.intel.com/26754/eng/Intel-SA-00075%20Mitigation%20Guide-Rev%201.2.pdf
                      • 8. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                        KaiNitzsche Apprentice
                        Das Schöne ist wohl, das die OEMs jetzt wohl Schnellschüsse bei den BIOS-Updates hinlegen. Durch Zufall habe ich heute das letzte BIOS (16.05.2017) auf einem unseren Dell Latitude 2-in-1 installiert und siehe da, der UEFI LAN Boot funktioniert nicht mehr. Erst danach habe ich festgestellt, das das Update besagte Sicherheitslücke schließen soll. Will jemand von euch BIOS-Updates machen, testet gründlich durch. Nicht das hinterher größere Probleme vorhanden sind als vorneweg.


                        Gruß und schönes Wochenende
                        Kai
                        • 9. Re: Intel AMT Firmwareupdate im Enterpriseumfeld
                          MarkusMichalski Specialist
                          Moin,

                          Das Schöne ist wohl, das die OEMs jetzt wohl Schnellschüsse bei den BIOS-Updates hinlegen. Durch Zufall habe ich heute das letzte BIOS (16.05.2017) auf einem unseren Dell Latitude 2-in-1 installiert und siehe da, der UEFI LAN Boot funktioniert nicht mehr.


                          stimmt - ich mühe mich gerade mit BIOS Downgrades herum, damit auf dem Latitude 7470 der TPM 1.2 wieder läuft und Bitlocker zufrieden ist. Grausam...