Intel® Management Engine krytyczna aktualizacja oprogramowania sprzętowego (Intel-SA-00086)

Dokumentacja

Rozwiązywanie problemów

000025619

17-08-2021

Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) i Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

UwagaW tym artykule opisano problemy związane z lukami w zabezpieczeniach znalezionymi w Intel® Management Engine Firmware. W tym artykule nie ma informacji na temat podatności bocznego kanału procesora na luki (zwane także Meltdown i Spectre). Jeśli szukasz informacji na temat Meltdown i Spectre, idź do Analizy bocznych kanałów i produktów Intel® .

W odpowiedzi na problemy zidentyfikowane przez zewnętrznych badaczy, firma Intel przeprowadziła dogłębną i kompleksową analizę bezpieczeństwa następujących danych w celu zwiększenia odporności oprogramowania sprzętowego:

  • Intel® Management Engine (Intel® ME)
  • Intel® Trusted Execution Engine (Intel® TXE)
  • Intel® Server Platform Services (SPS)

Firma Intel zidentyfikował luki w zabezpieczeniach, które mogą mieć wpływ na niektóre komputery, serwery i platformy IoT.

W systemach Intel ME oprogramowania sprzętowego wersji 6.x-11.x, serwerach korzystających z oprogramowania sprzętowego SPS w wersji 4.0 oraz systemach korzystających z TXE w wersji 3.0. Możesz znaleźć te wersje oprogramowania na niektórych procesorach:

  • Rodziny procesorów Intel® Core™ pierwszej, drugiej, trzeciej, czwartej, piątej, 6, 7 i 8 generacji
  • Intel® Xeon® procesorów E3-1200 v5 i v6
  • Rodzina Intel® Xeon® skalowalnych procesorów
  • Intel® Xeon® W Processor
  • Intel Atom® rodzina procesorów C3000
  • Apollo Lake Intel Atom® procesorów z serii E3900
  • Apollo Lake intel® Pentium® intel
  • Procesor Intel® Pentium® z serii G
  • Procesory Intel® Celeron® z serii G, N i J

Aby sprawdzić, czy zidentyfikowane luki miały wpływ na Twój system, korzystając z poniższych łączy, pobierz i uruchom narzędzie do Intel CSME wykrywania wersji.

Sekcja często zadawanych pytań

Dostępne zasoby

Zasoby dla użytkowników Microsoft i Linux*

Zasoby producentów systemów/płyt głównych

UwagaLinki do innych producentów systemów i płyt głównych zostaną udostępnione, jeśli będą dostępne. Jeśli Twojego producenta nie ma na liście, skontaktuj się z nim, aby uzyskać informacje na temat dostępności niezbędnej aktualizacji oprogramowania.


Często zadawane pytania:

P: Narzędzie do Intel CSME wersji zgłasza, że mój system jest podatny na zagrożenia. Co mogę zrobić?
O:
Firma Intel zapewniła producentom systemów i płyt głównych niezbędne aktualizacje oprogramowania sprzętowego i oprogramowania, aby usunąć luki zidentyfikowane w Poradniku bezpieczeństwa Intel-SA-00086.

Skontaktuj się z producentem systemu lub płyty głównej w sprawie planów dotyczących aktualizacji dostępnych dla użytkowników końcowych.

Niektórzy producenci zapewniły firmie Intel bezpośredni link dla klientów, aby uzyskali dodatkowe informacje i dostępne aktualizacje oprogramowania (zobacz listę poniżej).

P: Dlaczego muszę się skontaktować z producentem mojego systemu lub płyty głównej? Dlaczego firma Intel nie może dostarczyć niezbędnej aktualizacji dla mojego systemu?
O:
Firma Intel nie jest w stanie zapewnić ogólnej aktualizacji z powodu dostosowań oprogramowania sprzętowego Management Engine przez producentów systemów i płyt głównych.

P: Narzędzie do wykrywania wersji systemu z pomocą narzędzia do wykrywania Intel CSME wersji jest zgłoszone jako wrażliwe. Co mogę zrobić?
O:
Status Podatny na zagrożenia zwykle pojawia się, gdy jeden z następujących sterowników nie jest zainstalowany:

  • Intel® Management Engine Interface (Intel® MEI)
Lub
  • sterownik Intel® Trusted Execution Engine Interface (Intel® TXEI)

Skontaktuj się z producentem systemu lub płyty głównej, aby uzyskać właściwe sterowniki dla Twojego systemu.

P: Producent mojego systemu lub płyty głównej nie znajduje się na waszej liście. Co mogę zrobić?
O:
Na liście poniżej znajdują się linki od producentów systemów lub płyt głównych, którzy dostarczali firmie Intel informacje. Jeśli Twojego producenta nie ma na ekranie, skontaktuj się z nim za pomocą standardowych mechanizmów pomocy (strona internetowa, telefon, e-mail itp.), aby uzyskać pomoc.

P: Jakiego rodzaju dostępu osoba atakująca potrzebuje, aby wykorzystać zidentyfikowane luki w zabezpieczeniach?
O:
Jeśli producent sprzętu włącza zalecane przez Intel zabezpieczenia przed zapisem Flash Descriptor, osoba atakująca potrzebuje fizycznego dostępu do pamięci flash oprogramowania sprzętowego platformy, aby wykorzystać luki zidentyfikowane w:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

Koniec produkcji

Osoba atakująca uzyskuje fizyczny dostęp poprzez ręczną aktualizację platformy za pomocą obrazu złośliwego oprogramowania sprzętowego. Programator flash musi być fizycznie podłączony do pamięci flash platformy. Ochrona przed zapisem Flash Descriptor to ustawienie platformy zwykle ustawiane na końcu produkcji. Ochrona przed zapisem Flash Descriptor chroni ustawienia we Flashu przed złośliwą lub niezamierzoną zmianą po zakończeniu produkcji.

Jeśli producent sprzętu nie włączy zalecanych przez firmę Intel zabezpieczeń przed zapisem Flash Descriptor, osoba atakująca musi uzyskać dostęp do jądra systemu operacyjnego(dostęplogiczny, Pierścień systemu operacyjnego 0). Osoba atakująca potrzebuje tego dostępu, aby wykorzystać zidentyfikowane luki w zabezpieczeniach poprzez zastosowanie obrazu złośliwego oprogramowania sprzętowego na platformie za pośrednictwem złośliwego sterownika platformy.

Lukę zidentyfikowaną w CVE-2017-5712 można wykorzystać zdalnie poprzez sieć w połączeniu z prawidłowym poświadczeniem Intel® Management Engine administracyjnym. Luki w zabezpieczeniach nie można wykorzystać, jeśli prawidłowe poświadczenie administracyjne jest niedostępne.

Jeśli potrzebujesz dalszej pomocy, skontaktuj się z Obsługą klienta firmy Intel, aby przesłać zgłoszenie serwisowe online.