英特尔® 管理引擎固件更新 (Intel-SA-00086)

文档

故障排除

000025619

2023 年 11 月 13 日

英特尔® 管理引擎 (英特尔® ME 6.x/7.x/8.x/9.x/10.x/11.x)、英特尔® 可信执行引擎 (英特尔® TXE 3.0) 和英特尔® Server Platform Services (英特尔® SPS 4.0) 的漏洞 (Intel-SA-00086)

注意 本文介绍与 英特尔® Management Engine Firmware 中发现的安全漏洞相关的问题。本文 不包含 与处理器侧信道漏洞(称为 Meltdown/Spectre)相关的信息。如果您想了解关于 Meltdown/Spectre 问题的信息,请参阅 旁路分析事实和英特尔®产品

为应对外部研究人员发现问题,英特尔对以下产品执行了深入全面的安全审核,以增强固件恢复能力:

  • 英特尔® 管理引擎 (英特尔® ME)
  • 英特尔® 可信执行引擎 (英特尔® TXE)
  • 英特尔® Server Platform Services (SPS)

英特尔已识别可能会影响某些电脑、服务器和物联网平台的安全漏洞。

使用英特尔 ME固件版本 6.x-11.x 的系统、使用 SPS 固件版本的服务器和使用 TXE 版本 3.0 的系统均受影响。您可以查找以下处理器的固件版本:

  • 第一代、第二代、第三代、第四代、第五代、第六代、第七代和第八代英特尔® 酷睿™处理器家族
  • 英特尔® 至强®处理器 E3-1200 v5 和 v6 产品家族
  • 英特尔® 至强®处理器可扩展家族
  • 英特尔® Xeon® W处理器
  • 英特尔凌动® C3000 处理器家族
  • Apollo Lake 英特尔凌动® 处理器 E3900 系列
  • Apollo Lake英特尔®奔腾®处理器
  • 英特尔®奔腾® 处理器 G 系列
  • 英特尔® 赛扬® G、N 和 J 系列处理器

要确定发现的漏洞是否会影响您的系统,请使用下面的链接下载并运行英特尔 CSME版本检测工具。

常见问题解答部分

可用资源

面向 Microsoft 和 Linux * 用户的资源

系统/主板制造商提供的资源

注意 其他系统/主板制造商的链接在可用的情况下提供。如果您的制造商未列出,请与他们联系以获取有关必要软件更新的可用性信息。


常见问题:

问:英特尔 CSME版本检测工具报告说我的系统易受攻击。我该怎么办?
答:
英特尔已向系统和主板制造商提供了必要的固件和软件更新,以解决安全通报 Intel-SA-00086 中发现的漏洞。

请联系系统或主板制造商,了解他们向最终用户提供更新的计划。

一些制造商向他们的客户提供了英特尔的直接链接以获取更多信息以及可用的软件更新(请参阅下面的列表)。

问:为什么我否需要与我的系统或主板制造商联系?为什么英特尔不能为我的系统提供必要的更新?
答:
由于系统和主板制造商执行了管理引擎固件自定义,英特尔无法提供 通用 更新。

问:英特尔 CSME版本检测工具报告我的系统 可能会易受攻击 。我该怎么办?
:如果未安装以下任一驱动程序,通常会看到“ 可能易受攻击” 状态:

  • 英特尔® 管理引擎界面 (英特尔® MEI) 驱动程序
  • 英特尔® Trusted Execution Engine Interface (英特尔® TXEI) 驱动程序

请联系您的系统或主板制造商联系,获取适用于您的系统的正确的驱动程序。

问:我的系统或主板制造商未显示在您的列表中。我该怎么办?
答:
下面的列表显示了已向英特尔提供信息的系统或主板制造商提供的链接。如果没有显示您的制造商,请使用他们的标准支持机制(网站、电话、电子邮件等等)与其联系以获得帮助。

问:攻击者需要哪些类型的访问才能利用所发现的漏洞?
答:
如果设备制造商启用了英特尔推荐的闪存描述符写入保护,攻击者需要 物理访问 平台的固件闪存,以利用在以下位置发现的漏洞:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

生产结束

攻击者通过经由物理连接到平台闪存的闪存编程器,运用恶意固件映像手动更新平台,从而获得物理访问权限。闪存的描述符写保护是一种平台设置,通常在 制造的末尾 设置。闪存描述符写入保护可防止生产完成后闪存设置被恶意或无意更改。

如果设备制造商未启用英特尔推荐的闪存描述符写入保护,攻击者需要操作系统内核访问( 逻辑访问 ,操作系统 Ring 0)。攻击者需要此访问权限以将恶意固件映像经由恶意的平台驱动程序应用于该平台,从而进行攻击。

CVE-2017-5712 中发现的漏洞可结合有效的管理英特尔® 管理引擎凭据通过网络 远程进行 攻击。如果没有有效的管理引擎证书,则无法利用该漏洞。

如果需要进一步帮助,请联系 英特尔 Customer Support ,提交在线服务请求。