Menü

Schwachstelle "TPM-Fail": Erste Updates und Testsoftware von Intel

Mit Intels CSME Detection Tool lässt sich prüfen, ob ein BIOS-Update wegen der Schwachstelle TPM-Fail in Intels fTPM 2.0 nötig ist.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 29 Beiträge

Intels CSME-Tool 2.0.6.0 zeigt, ob die ME-Firmware die Schwachstelle TPM-Fail enthält.

Von

Einige Tage nach Veröffentlichung der Sicherheitslücke TPM-Fail sind nun von mehreren Herstellern betroffener Systeme Informationen und teils auch BIOS- beziehungsweise Firmware-Updates verfügbar. Bei Rechnern mit Intels fTPM 2.0 kommt Abhilfe in Form von BIOS-Updates, für Systeme mit dem ST-TPM ST33TPHF2ESPI oder ST33TPHF2EI2C gibt es Firmware-Update-Tools.

Intel bietet eine aktualisierte Version des "Intel CSME Version Detection Tool" an, und zwar in je einer Version für Windows (Server) und Linux. Das CSME-Tool überprüft die Versionsnummer der auf dem jeweiligen Rechner laufenden Firmware der "Converged Security and Management Engine" (CSME), die früher als Management Engine (ME) bekannt war.

In dieser Firmware wiederum steckt auch der Code des Firmware Trusted Platform Module 2.0 (fTPM 2.0), dessen ältere Versionen die Schwachstelle TPM-Fail enthalten: Durch eine Timing-Attacke lässt sich der geheime Schlüssel für den Elliptic Curve Digital Signature Algorithm (ECDSA) auslesen (CVE-2019-11090, Intel Security Advisory SA-00241). Kritisch ist diese Sicherheitslücke nur, wenn Software tatsächlich das TPM für ECDSA nutzt.

Wir haben die aktuelle Version 2.0.6.0 des CSME Tool auf einem älteren Mini-PC von Intel ausprobiert, dem NUC6CAYH (Arches Canyon) mit Celeron J3455 (Apollo Lake). Dort meldet CSME 2.0.6.0 "dieses System hat Sicherheitslücken" und die Version der Trusted Execution Engine (TXE) 3.0.13.1144. Laut Intel-SA-00241 sind bei dieser TXE-Hauptversion 3.x erst die Versionen ab 3.1.65 frei von TPM-Fail.

Welche Version der "ME-Firmware" im jeweiligen BIOS-Update steckt, muss man in den BIOS Release Notes selbst nachschauen.

(Bild: Intel)

Statt nun aber direkt einen Link zum passenden BIOS-Update einzublenden, verweist das CSME Tool 2.0.6.0 auf eine Intel-Seite mit einer Liste von Sicherheits-Updates für die CSME. Dort ist Intel-SA-00241 derzeit aber noch nicht einmal verlinkt (anders als in der US-Version der Seite) und man darf selbst nach einem BIOS-Update suchen.

Für unseren NUC6CAYH steht als jüngstes BIOS-Update derzeit die Version 0064 vom 10. September 2019 bereit, die laut Release Notes aber nur die "ME Firmware: 3.1.60.2280" enthält und nicht etwa die nötige 3.1.65.xxxx.

Für die NUC-7-Familie mit Core-i-7000-CPUs hat Intel hingegen schon das BIOS-Update 0067 mit TPM-Fail-Update auf dem Server, hier ist eine (CS)ME-Firmware ab 11.8.65 nötig und im 0067er-BIOS steckt die ME-Firmware 11.8.65.3590.

Für die NUC-8-Baureihe wiederum findet sich heute erst die BIOS-Version 0075 mit der ME-Firmware 12.0.32.1421, Schutz bringt bei Core i-8000 erst die ME-Version 12.0.35.

Auf einem älteren System mit Core i7-4770 wiederum meldet CSME 2.0.6.0, das System "wird nicht unterstützt". Hier ist noch kein fTPM 2.0 vorhanden.

Für weniger erfahrene Besitzer eines Desktop-PCs, Notebooks, Tablets oder Servers mit Intel-Prozessor ist es sehr schwierig, passende BIOS-Update zu finden. Schwer zu durchdringen ist auch Intels Informationsgewirr: Man muss schon wissen, dass die fTPM-Firmware jeweils in der ME- beziehungsweise CSME-Firmware steckt und dazu je nach CPU-Typ mal als Teil von Platform Trust Technology (PTT, Core i und verwandte Celerons/Pentiums Gold/Xeons), von Server Platform Services (SPS, "größere" Xeons) oder auch von Trusted Execution Engine (TXE, Atoms, "Atom-Celerons" und Pentium Silver) bezeichnet wird.

Dell hat für viele Xeon-Server der Serie PowerEdge BIOS-Updates bereitgestellt, die nicht nur die Microcode-Updates für die am 12. November veröffentlichten CPU-Lücken enthalten, sondern auch die ME-Firmware 04.01.04.354 (SPS ist ab 04.01.04.297.0 geschützt).

HP offeriert eine Liste mit BIOS-Updates für Notebooks (Envy, Pavilion, Spectre, Omen, größtenteils noch ausstehend), Desktop-PCs und Workstations.

HPE stellt klar, dass man Intels fTPM 2.0 nicht nutzt, jedoch das ebenfalls von TPM-Fail betroffene ST-TPM (CVE-2019-16863). Für ProLiant-, Apollo- und Synergy-Systeme stehen Firmware-Updater bereit.

Lenovo-Updates wegen Intel-SA-00241.

Der Server-Anbieter Thomas-Krenn kündigt BIOS-Updates für einige Serverboards von Asus und Supermicro an.

Supermicro selbst pflegt eine Board-Matrix mit teils noch ausstehenden BIOS-Updates. (ciw)