Zowat alle recente Intel-processoren, aanwezig in miljoenen pc’s en laptops maar ook servers voor zakelijk gebruik, hebben een heel ernstig beveiligingslek.

Beveiligingsexperts waarschuwen eigenlijk al jaren voor problemen met de Intel remote management-functie, de Management Engine. Daarmee kunnen IT-ers van op afstand controle overnemen van een computer om bijvoorbeeld problemen van een gebruiker op te lossen of software te installeren en te verwijderen.

Intel heeft vannacht op z’n website die vrees bevestigd; er zijn wel degelijk kritieke lekken zijn aangetroffen in onder meer de Intel Management Engine. Er zijn ook problemen met de remote server management tool Server Platform Services en Intel’s hardware authentication tool Trusted Execution Engine.

Schadelijke software

Management Engine draait op een losse microprocessor in nieuwe Intel-chipsets. En dat is ook de reden waarom je computer zelfs kwetsbaar is als hij uitstaat: omdat het zich op een afzonderlijke microprocessor bevindt en in wezen als een volledig afzonderlijke eenheid fungeert.

Via de Management Engine kunnen hackers schadelijke software uitvoeren die moeilijk detecteerbaar is. Om toegang te krijgen tot de losse coprocessor moet een aanvaller wel eerst administratierechten bemachtigen. Maar onoverkoombaar is dat zeker niet.

Detectietool

Intel heeft een detectietool gepubliceerd die administrators kunnen gebruiken om hun systemen te controleren.

Intel waarschuwt voor de mogelijke gevolgen, onder meer instabiliteit of systeemcrashes veroorzaken. De problemen met de chip kunnen worden gebruikt om beveiligingsverificaties uit te schakelen en zelfs om “willekeurige code buiten de zichtbaarheid van de gebruiker en het besturingssysteem te laden en uit te voeren.”

Probleem met updates

Er is nog een probleem: Intel kan fabrikanten updates bieden die de zaak fixen, maar klanten moeten wachten op hardwarebedrijven om de fixes daadwerkelijk uit te rollen. Tot nu toe heeft alleen Lenovo er eentje aangeboden.

“Bedrijven, systeembeheerders en systeemeigenaars die computers of apparaten gebruiken die deze Intel-producten bevatten, moeten bij hun apparatuurfabrikanten of leveranciers informeren naar updates voor hun systemen en die updates zo snel mogelijk toepassen”, zeggen ze bij Intel.