英特尔® 管理引擎关键固件更新 (Intel-SA-00086)

文档

故障排除

000025619

16-Aug-2018

英特尔® 管理引擎 (英特尔® ME 6.x/7.x/8.x/9.x/10.x/11.x)、英特尔® 可信执行引擎 (英特尔® TXE 3.0) 和英特尔® 服务器平台服务 (英特尔® SP 4.0) 的漏洞 (英特尔-SA-00086)

本文介绍了与英特尔® 管理引擎固件中发现的安全漏洞相关的问题。此文章包含与处理器旁路漏洞(称为垮台/Spectre)相关的信息。如果您正在寻找有关垮台/Spectre 问题的信息,请转至旁路分析事实和英特尔® 产品

为应对外部研究人员发现问题,英特尔对以下执行了深入全面的安全审核以实现增强固件恢复能力的目的:

  • 英特尔® 管理引擎
  • 英特尔® 可信执行引擎
  • 英特尔® 服务器平台服务 (SPS)

英特尔已识别可能会影响某些电脑、服务器和物联网平台的安全漏洞。

使用英特尔管理引擎固件版本 6.x-11.x 的系统、使用 SPS 固件版本的服务器、使用 TXE 3.0 版的系统均受影响。您可以找到以下某些处理器的固件版本:

  • 第一、 第二、 第三、第四、第五、第六,第七和第八代英特尔® 酷睿™ 处理器家族
  • 英特尔® 至强™ 处理器 E3-1200 v5 和 v6 产品家族
  • 英特尔® 至强® 处理器可扩展家族
  • 英特尔® 至强® W 处理器
  • 英特尔凌动® C3000 处理器家族
  • Apollo Lake 英特尔凌动® 处理器 E3900 系列
  • Apollo Lake 英特尔® 奔腾® 处理器
  • 英特尔® 奔腾® 处理器 G 系列
  • 英特尔® 赛扬® G、N 和 J 系列处理器

要确定发现的漏洞是否会影响您的系统,使用下面的链接下载并运行 Intel-SA-00086 检测工具。

常见问题解答部分

可用的资源

Microsoft 和 Linux * 用户的资源

INTEL-SA-00086 检测工具早于 1.0.0.146 的版本不检查 CVE-2017-5711 和 CVE-2017-5712。这些 CVE 仅影响采用英特尔® 主动管理技术 (英特尔® AMT) 版本 8.x-10.x 的系统。采用英特尔® 主动管理技术 8.x-10.x 的系统的用户都应当先安装版本 1.0.0.146,或更高版本。安装此版本可帮助验证他们的系统的 INTEL-SA-00086 安全告示的状态。您可以通过运行该工具以查找 INTEL-SA-00086 的版本,并在输出窗口中查看该版本的信息。

系统/主板制造商提供的资源

其他系统/主板制造商的链接在可用的情况下提供。如果您的制造商未列出,请与他们联系以了解所需的软件更新的可用性信息。


常见问题解答:

问:Intel-SA-00086 检测工具报告说我的系统易受攻击。我该怎么办?
答:
英特尔已向系统和主板制造商提供必要的固件和软件更新以解决安全告示 Intel-SA-00086 所列出的漏洞。

联系系统或主板制造商以了解他们向最终用户提供更新的计划。

一些制造商向他们的客户提供了英特尔的直接链接以获取更多信息以及可用的软件更新(请参阅下面的列表)。

问:为什么我否需要与我的系统或主板制造商联系?为什么英特尔不能为我的系统提供所需的更新?
答:由于系统和主板制造商执行的管理引擎固件的自定义,
英特尔无法提供一个通用的更新。

问:Intel-SA-00086 检测工具报告我的系统可能会易受攻击。我该怎么办?
答:
可能易受攻击的状态通常显示以下驱动程序之一未安装:

  • 英特尔® 管理引擎接口 (英特尔® MEI) 驱动程序 
  • 英特尔® 可信执行引擎接口 (英特尔® TXEI) 驱动程序
请联系您的系统或主板制造商联系,以获取适用于您的系统的正确的驱动程序。

问:我的系统或主板制造商未显示在您的列表中。我该怎么办?
答:
下面的列表中显示已向英特尔提供信息的系统或主板制造商的链接。如果没有显示您的制造商,请使用他们的标准支持机制(网站、电话、电子邮件等等)与其联系以获得帮助。

问:攻击者需要哪些类型的访问才能利用所发现的漏洞?
答:
如果设备制造商启用了英特尔推荐的闪存描述符写入保护,攻击者需要实际访问平台的固件闪存才能利用在以下各项中发现的漏洞:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
攻击者通过经由物理连接到平台的闪存的闪存编程器以恶意固件映像对平台进行审计来获得物理访问权限。闪存的描述符写保护是一种平台设置,通常在制造的末尾设置。闪存描述符写保护可防止闪存设置在被制造完成后被恶意或无意更改。

如果设备制造商未启用英特尔推荐的闪存描述符写保护,攻击者需要操作系统内核访问(逻辑访问,操作系统 Ring 0)。攻击者需要此访问权限以通过将恶意的固件映像经由恶意的平台驱动程序应用于该平台进行攻击。

CVE-2017-5712 中发现的漏洞可通过一个有效的英特尔® 管理引擎凭据,经由网络远程进行攻击。如果没有管理引擎凭证,则无法攻击该漏洞。

如果您需要进一步协助,请联系英特尔客户支持以提交在线服务请求。