英特尔® 管理引擎关键固件更新 (Intel-SA-00086)

文档

故障排除

000025619

2020 年 01 月 29 日

英特尔® 管理引擎 (英特尔® ME 6.x/7.x/8.x/9.x/10.x/11.x)、英特尔® 可信执行引擎 (英特尔® TXE 3.0) 和英特尔® 服务器平台服务 (英特尔® SP 4.0) 的漏洞 (英特尔-SA-00086)

本文介绍了英特尔® 管理引擎固件中发现的安全漏洞相关问题。本文包含与处理器旁路漏洞(称为Meltdown/Spectre“”)相关的信息。如果您想了解关于 Meltdown/Spectre 问题的信息,请参阅旁路分析事实和英特尔® 产品

为应对外部研究人员发现问题,英特尔对以下产品执行了深入全面的安全审核,以增强固件恢复能力:

  • 英特尔® 管理引擎(英特尔® ME)
  • 英特尔® 可信执行引擎(英特尔® TXE)
  • 英特尔® 服务器平台服务 (SPS)

英特尔已识别可能会影响某些电脑、服务器和物联网平台的安全漏洞。

使用英特尔管理引擎固件版本 6.x-11.x 的系统、使用 SPS 固件版本的服务器、使用 TXE 3.0 版的系统均受影响。您可以查找以下处理器的固件版本:

  • 第一代、第二代、第三代、第四代、第五代、第六代,第七代和第八代英特尔® 酷睿™ 处理器家族
  • 英特尔® 至强® 处理器 E3-1200 v5 和 v6 产品家族
  • 英特尔® 至强® 可扩展处理器家族
  • 英特尔® 至强® W 处理器
  • 英特尔凌动® C3000 处理器家族
  • Apollo Lake 英特尔凌动® 处理器 E3900 系列
  • Apollo Lake 英特尔® 奔腾® 处理器
  • 英特尔® 奔腾® 处理器 G 系列
  • 英特尔® 赛扬® G、N 和 J 系列处理器

如要确定发现的漏洞是否会影响您的系统,请使用下面的链接下载并运行英特尔 CSME 版本检测工具。

常见问题解答部分

可用资源

面向 Microsoft 和 Linux * 用户的资源

系统/主板制造商提供的资源

其他系统/主板制造商的链接在可用的情况下提供。如果您的制造商未列出,请与他们联系,了解必要软件更新是否可用。


常见问题解答:

问:英特尔 CSME 版本检测工具报告说我的系统易受攻击。我该怎么办?
答:
英特尔已向系统和主板制造商提供必要的固件和软件更新以解决安全告示 Intel-SA-00086 所列出的漏洞。

请联系系统或主板制造商,了解他们向最终用户提供更新的计划。

一些制造商向他们的客户提供了英特尔的直接链接以获取更多信息以及可用的软件更新(请参阅下面的列表)。

问:为什么我否需要与我的系统或主板制造商联系?为什么英特尔不能为我的系统提供所需的更新?
答:由于系统和主板制造商执行了管理引擎固件自定义,
因此英特尔无法提供一个通用更新。

问:英特尔 CSME 版本检测工具报告我的系统可能会易受攻击。我该怎么办?
答:如果未安装以下任一驱动程序,通常会显示
可能易受攻击的状态:

  • 英特尔® 管理引擎接口 (英特尔® MEI) 驱动程序 
  • 英特尔® 可信执行引擎接口 (英特尔® TXEI) 驱动程序

请联系您的系统或主板制造商联系,获取适用于您的系统的正确的驱动程序。

问:我的系统或主板制造商未显示在您的列表中。我该怎么办?
答:
下面的列表中显示已向英特尔提供信息的系统或主板制造商的链接。如果没有显示您的制造商,请使用他们的标准支持机制(网站、电话、电子邮件等等)与其联系以获得帮助。

问:攻击者需要哪些类型的访问才能利用所发现的漏洞?
答:
如果设备制造商启用了英特尔推荐的闪存描述符写入保护,攻击者需要实际访问平台的固件闪存才能利用在以下各项中发现的漏洞:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

攻击者通过经由物理连接至平台闪存的闪存编程器,运用恶意固件映像手动更新平台,从而获得物理访问权限。闪存描述符写入保护是一种平台设置,通常在生产结束之际进行设置。闪存描述符写入保护可防止生产完成后闪存设置被恶意或无意更改。

如果设备制造商未启用英特尔推荐的闪存描述符写入保护,攻击者需要操作系统内核访问(逻辑访问,操作系统 Ring 0)。攻击者需要此访问权限以将恶意固件映像经由恶意的平台驱动程序应用于该平台,从而进行攻击。

CVE-2017-5712 中发现的漏洞可结合有效的英特尔® 管理引擎证书,经由网络远程进行攻击。如果没有有效的管理引擎证书,则无法利用该漏洞。

如果需要进一步协助请联系,英特尔客户支持,提交在线服务请求。