Site Loader
Steinrieselstrasse 52, 3203 Mühleberg

Leider ist durch Intel Boot Guard die Verwendung eines alternativen BIOS bei vielen Geräten nicht möglich.

Aus Sicherheitsaspekten haben ich jedem meiner Rechner (T420s / T430) Coreboot mit abgeschalteter Intel ME spendiert. Dazu ein voll verschlüsseltes Linux und man geniesst ein Höchstmass an Sicherheit.

Bei den „neueren“ Geräten fällt Coreboot jedoch weg, ausser es wurde direkt vom Hersteller implementiert. Was jedoch möglich ist, die Intel ME Engine abzuschalten. Das ganze wurde getestet auf einem ganz neuen Lenovo E490 Laptop.

Der SPI Chip ist sehr leicht zugänglich und sitzt auf der unteren Seite des Mainboards. Man muss lediglich die Schrauben lösen und mit einer alten Kreditkarte den Deckel am Rand leicht anheben.

Zum lesen/schreiben verwende ich flashrom und ein mini ftdi Modul. Man sollte immer sicher gehen, dass das Backup keine Fehler aufweist, deshalb unbedingt zweimal lesen und die MD5 Hash Summen vergleichen! Es wird sonst sehr schwierig den original Zustand wieder herzustellen!!

Sieht ungefähr so aus: e9e0f71d822c9e29c8a64e94fc5af884

Haben wir ein sauberes Backup, können wir das Intel ME HAP Bit setzen.

Notwendig dafür ist ein modifizierter me_cleaner von dt-zero. Dieser Fork unterstützt nun auch die Version 12 von ME. Danke an dt-zero für die schnelle Hilfe!

Wenn alles gut gegangen ist, sollte im Bios die ME Firmware Version verschwunden sein. Ebenfalls ist unter /dev/ kein mei0 device mehr sichtbar.

Das Intelmetool von Coreboot arbeitet in der vorliegenden Version nicht mit neuer Hardware zusammen, da die Hardware ID’S der CANNONLAKE ISA Bridge (0x9D84) und des Intel ME Kommunikations Controlers (0x9DE0) noch keinen Einzug gefunden haben. Ich werde in den nächsten Tagen eine Version mit den notwendigen Anpassungen veröffentlichen.

Hier ein Auszug vor der Modifikation:


MEI found: [8086:9de0] Device 9de0

ME Status : 0xa0000245
ME Status 2 : 0xf10506

ME: FW Partition Table : OK
ME: Bringup Loader Failure : NO
ME: Firmware Init Complete : YES
ME: Manufacturing Mode : NO
ME: Boot Options Present : NO
ME: Update In Progress : NO
ME: Current Working State : Normal
ME: Current Operation State : M0 with UMA
ME: Current Operation Mode : Normal
ME: Error Code : No Error
ME: Progress Phase : ROM Phase
ME: Power Management Event : Clean Moff-Mx wake
ME: Progress Phase State : (null)

ME: Extend Register not valid

ME: Firmware Version 12.0.1427.35 (code) 12.0.1427.35 (recovery) 12.0.1427.35 (fitc)

ME Capability: Full Network manageability : OFF
ME Capability: Regular Network manageability : OFF
ME Capability: Manageability : OFF
ME Capability: Small business technology : OFF
ME Capability: Level III manageability : OFF
ME Capability: IntelR Anti-Theft (AT) : OFF
ME Capability: IntelR Capability Licensing Service (CLS) : ON
ME Capability: IntelR Power Sharing Technology (MPC) : OFF
ME Capability: ICC Over Clocking : OFF
ME Capability: Protected Audio Video Path (PAVP) : ON
ME Capability: IPV6 : OFF
ME Capability: KVM Remote Control (KVM) : OFF
ME Capability: Outbreak Containment Heuristic (OCH) : OFF
ME Capability: Virtual LAN (VLAN) : ON
ME Capability: TLS : OFF
ME Capability: Wireless LAN (WLAN) : OFF

Post Author: roema