การอัปเดตเฟิร์มแวร์สําคัญโปรแกรมการจัดการจาก Intel® (Intel-SA-00086)

เอกสาร

การแก้ไขปัญหา

000025619

13/11/2023

ช่องโหว่ของโปรแกรมการจัดการจาก Intel® (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), โปรแกรมสำหรับการทำงานที่เชื่อถือได้จาก Intel® (Intel® TXE 3.0) และ Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

หมาย เหตุ บทความนี้อธิบายถึงปัญหาที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัยที่พบใน Intel® Management Engine Firmware บทความนี้ไม่มีข้อมูลที่เกี่ยวข้องกับช่องโหว่สําหรับช่องทางด้านข้างของโปรเซสเซอร์ (หรือ Meltdown/Spectre) หากคุณกําลังค้นหาข้อมูลเกี่ยวกับปัญหาด้าน Meltdown/Spectre ให้ไปที่ ข้อเท็จจริงด้านการวิเคราะห์ Side-Channel และผลิตภัณฑ์ Intel®

เพื่อรับมือกับปัญหาที่นักวิจัยภายนอกพบ Intel ได้ทําการตรวจสอบด้านการรักษาความปลอดภัยเชิงลึกอย่างครอบคลุมในผลิตภัณฑ์ต่อไปนี้เพื่อวัตถุประสงค์ด้านการยกระดับความยืดหยุ่นของเฟิร์มแวร์

  • โปรแกรมการจัดการจาก Intel® (Intel® ME)
  • โปรแกรมสำหรับการทำงานที่เชื่อถือได้จาก Intel® (Intel® TXE)
  • Intel® Server Platform Services (SPS)

Intel ได้ระบุพบช่องโหว่ด้านการรักษาความปลอดภัยที่อาจส่งผลกระทบต่อพีซี เซิร์ฟเวอร์ และแพลตฟอร์ม IoT บางตัวได้

ระบบที่ได้รับผลกระทบคือระบบที่ใช้เฟิร์มแวร์ Intel ME เวอร์ชั่น 6.x-11.x, เซิร์ฟเวอร์ที่ใช้เฟิร์มแวร์ SPS เวอร์ชั่น 4.0 และระบบที่ใช้ TXE เวอร์ชั่น 3.0 คุณอาจพบเฟิร์มแวร์ในเวอร์ชั่นเหล่านี้ในโปรเซสเซอร์บางรุ่นตั้งแต่:

  • ตระกูลโปรเซสเซอร์ Intel® Core™ เจนเนอเรชั่น 1, 2, 3, 4, 5, 6, 7 และ 8
  • ตระกูลผลิตภัณฑ์โปรเซสเซอร์ Intel® Xeon® E3-1200 v5 และ v6
  • โปรเซสเซอร์ Intel® Xeon® ตระกูล Scalable
  • โปรเซสเซอร์ Intel® Xeon® W
  • ตระกูลโปรเซสเซอร์ Intel® Atom® C3000
  • โปรเซสเซอร์ Apollo Lake Intel® Atom® ซีรีส์ E3900
  • Apollo Lake โปรเซสเซอร์ Intel® Pentium®
  • โปรเซสเซอร์ Intel® Pentium® ซีรี่ส์ G
  • โปรเซสเซอร์ Intel® Celeron® ซีรีส์ G, N และ J

หากต้องการดูว่าช่องโหว่ที่ระบุส่งผลต่อระบบของคุณหรือไม่ ให้ดาวน์โหลดและเรียกใช้งานเครื่องมือตรวจหาเวอร์ชัน Intel CSME โดยใช้ลิงก์ด้านล่าง

ส่วนคําถามที่พบบ่อย

แหล่งข้อมูลที่มี

แหล่งข้อมูลสําหรับผู้ใช้ Microsoft และ Linux*

แหล่งข้อมูลจากผู้ผลิตระบบ/เมนบอร์ด

หมาย เหตุ ลิงก์สําหรับผู้ผลิตระบบ/มาเธอรบอร์ดจะมีการให้ไว้เมื่อมีการใช้งาน หากผู้ผลิตของคุณไม่อยู่ในรายการ ให้ติดต่อผู้ผลิตเพื่อขอข้อมูลเกี่ยวกับการอัปเดตซอฟต์แวร์ที่จําเป็น


คำ ถาม:

คําถาม: เครื่องมือตรวจหาเวอร์ชั่น Intel CSME รายงานว่าระบบของฉันมีช่องโหว่ ฉันควรทําอย่างไร
คําตอบ:
Intel ได้ให้การอัปเดตเฟิร์มแวร์และซอฟต์แวร์แก่ผู้ผลิตระบบและมาเธอร์บอร์ดเพื่อแก้ไขปัญหาช่องโหว่ที่ระบุใน Intel-SA-00086 คําแนะนําด้านความปลอดภัย

ติดต่อผู้ผลิตระบบหรือมาเธอรบอร์ดของคุณเกี่ยวกับแผนเพื่อช่วยให้ผู้ใช้เข้าถึงอัปเดตต่างๆ ได้

ผู้ผลิตบางรายให้ลิงก์ตรงไว้กับ Intel เพื่อให้ลูกค้าสามารถรับการอัปเดตซอฟต์แวร์ที่มีและข้อมูลเพิ่มเติมได้ (ดูรายการด้านล่าง)

คําถาม: ทําไมฉันถึงต้องติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของฉันด้วย ทําไม Intel ไม่สามารถให้การอัปเดตที่จําเป็นกับระบบของฉันได้
คําตอบ:
Intel ไม่สามารถให้การอัปเดต ทั่วไป ได้ เนื่องจากการปรับแต่งเฟิร์มแวร์ของเอ็นจินการจัดการที่ดําเนินการโดยผู้ผลิตระบบและมาเธอร์บอร์ด

คําถาม: เครื่องมือตรวจหาเวอร์ชั่น Intel CSME รายงานว่าระบบของฉัน อาจมีช่องโหว่ ฉันควรทําอย่างไร
ตอบ:
โดยปกติสถานะ อาจเป็น Vulnerable เมื่อไดรเวอร์ตัวใดตัวหนึ่งต่อไปนี้ไม่ได้รับการติดตั้ง:

  • ไดรเวอร์ อินเตอร์เฟซสำหรับโปรแกรมการจัดการจาก Intel® (Intel® MEI)
หรือ
  • ไดรเวอร์ Intel® Trusted Execution Engine Interface (Intel® TXEI)

ติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของคุณเพื่อขอรับไดรเวอร์ที่ถูกต้องสําหรับระบบของคุณ

คําถาม: ไม่ได้แสดงผู้ผลิตระบบหรือเมนบอร์ดของฉันในรายการของคุณ ฉันควรทําอย่างไร
คําตอบ:
รายการด้านล่างแสดงลิงก์จากผู้ผลิตระบบหรือเมนบอร์ดที่ให้ข้อมูลกับ Intel หากไม่ได้แสดงผู้ผลิตของคุณ ให้ติดต่อพวกเขาโดยใช้กลไกการสนับสนุนมาตรฐาน (เว็บไซต์ โทรศัพท์ อีเมล และอื่นๆ) เพื่อขอความช่วยเหลือ

คําถาม: ประเภทการเข้าใช้งานแบบใดที่ผู้โจมตีต้องการใช้ในการเจาะช่องโหว่ที่ระบุ
คําตอบ:
หากผู้ผลิตอุปกรณ์เปิดใช้งานการป้องกันการเขียน Flash Descriptor ที่ Intel แนะนํา ผู้โจมตีจะต้องเข้าถึงแฟลชเฟิร์มแวร์ของแพลตฟอร์ม ทางกายภาพ เพื่อหาช่องโหว่ที่ระบุใน:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

การสิ้นสุดการผลิต

ผู้โจมตีจะได้สิทธิ์การเข้าใช้งานทางกายภาพจากการอัปเดตแพลตฟอร์มด้วยตัวเองผ่านไฟล์อิมเมจของเฟิร์มแวร์ที่เป็นอันตรายผ่านตัวตั้งโปรแกรมแฟลชที่เชื่อมต่อทางกายภาพกับหน่วยความจําแฟลชของแพลตฟอร์ม การป้องกันการเขียน Flash Descriptor เป็นการตั้งค่าแพลตฟอร์มที่มักตั้งค่าไว้ตอน ท้ายของการผลิต การป้องกันการเขียน Flash Descriptor ปกป้องการตั้งค่าบน Flash จากการเปลี่ยนที่เป็นอันตรายหรือโดยไม่ได้ตั้งใจหลังจากการผลิตเสร็จสมบูรณ์

หากผู้ผลิตอุปกรณ์ไม่ได้เปิดใช้งานการป้องกันการเขียน Flash Descriptor ที่ Intel แนะนํา ผู้โจมตีจะต้องมีสิทธิ์การเข้าใช้งานเคอร์เนลในระบบปฏิบัติการ (การเข้าใช้งานผ่านระบบเครือข่าย, Ring 0 ของระบบปฏิบัติการ) ผู้โจมตีต้องมีสิทธิ์การเข้าใช้งานนี้เพื่อเจาะช่องโหว่ที่ระบุ ด้วยการใช้ไฟล์อิมเมจของเฟิร์มแวร์ที่เป็นอันตรายกับแพลตฟอร์มผ่านไดรเวอร์ของแพลตฟอร์มที่เป็นอันตราย

ช่องโหว่ที่ระบุใน CVE-2017-5712 สามารถเจาะ ได้ในระยะไกล ผ่านเครือข่ายที่มีข้อมูลประจําตัวสําหรับการดูแลระบบโปรแกรมการจัดการจาก Intel®ที่ถูกต้อง หรือก็คือจะไม่สามารถเจาะช่องโหว่ได้ หากไม่มีข้อมูลประจําตัวเพื่อการดูแลระบบที่ถูกต้อง

หากคุณต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อ Intel Customer Support เพื่อส่งคําขอรับบริการออนไลน์