อัพเดตเฟิร์มแวร์ที่สำคัญโปรแกรมการจัดการจาก Intel® (Intel-SA-๐๐๐๘๖)

เอกสาร

การแก้ไขปัญหา

000025619

28/01/2020

โปรแกรมการจัดการจาก Intel® (Intel® ME 6. x/7. x/8. x/9. x/10. x/11. x), โปรแกรมสำหรับการทำงานที่เชื่อถือได้จาก Intel® (Intel® TXE ๓.๐), และ Intel® Server Platform Services (Intel® SPS ๔.๐) และช่องโหว่ (Intel-SA-๐๐๐๘๖)

หมาย เหตุบทความนี้อธิบายถึงปัญหาที่เกี่ยวข้องกับช่องโหว่ด้านการรักษาความปลอดภัยที่พบใน Intel® Management Engine Firmware บทความนี้ไม่มีข้อมูลที่เกี่ยวข้องกับช่องโหว่ด้านช่องสัญญาณด้านโปรเซสเซอร์ (ที่เรียกว่า Meltdown/Spectre) หากคุณกำลังมองหาข้อมูลเกี่ยวกับปัญหา Meltdown/Spectre ให้ไปที่ข้อเท็จจริงของการวิเคราะห์ด้านช่องทางและผลิตภัณฑ์®ของ Intel

ในการตอบสนองต่อปัญหาที่พบโดยนักวิจัยภายนอก Intel ได้ทำการตรวจสอบการรักษาความปลอดภัยที่ครอบคลุมเชิงลึกของสิ่งต่อไปนี้ด้วยวัตถุประสงค์ในการเสริมความยืดหยุ่นของเฟิร์มแวร์:

  • โปรแกรมการจัดการจาก Intel® (Intel® ME)
  • โปรแกรมสำหรับการทำงานที่เชื่อถือได้จาก Intel® (Intel® TXE)
  • Intel® Server Platform Services (SPS)

Intel ได้ระบุช่องโหว่ด้านการรักษาความปลอดภัยที่อาจส่งผลกระทบต่อพีซีเซิร์ฟเวอร์และแพลตฟอร์ม IoT บางรุ่น

ระบบที่ใช้ Intel ME Firmware เวอร์ชัน 6-11 x, เซิร์ฟเวอร์ใช้เฟิร์มแวร์ SPS เวอร์ชั่น๔.๐และระบบที่ใช้ TXE เวอร์ชัน๓.๐จะได้รับผลกระทบ คุณอาจพบกับเวอร์ชั่นเฟิร์มแวร์เหล่านี้ในบางโปรเซสเซอร์จาก:

  • ตระกูลโปรเซสเซอร์ Intel® Core™เจนเนอเรชั่น 1, 2, 3, 4, 5, 6, 7 และ8
  • ตระกูลผลิตภัณฑ์โปรเซสเซอร์ E3-1200 v5 และ v6 Intel® Xeon®
  • ตระกูลโปรเซสเซอร์ Intel® Xeon®ที่ปรับขยายได้
  • โปรเซสเซอร์ Intel® Xeon® W
  • ตระกูลโปรเซสเซอร์ Intel® Atom® C3000
  • Apollo Lake โปรเซสเซอร์ Intel® Atom®ซีรี่ส์®
  • Apollo Lake โปรเซสเซอร์ Intel® Pentium®
  • Intel®โปรเซสเซอร์ Pentium®ซีรีส์ G
  • โปรเซสเซอร์ Intel® Celeron® G, N และ J ซีรี่ส์

หากต้องการตรวจสอบว่าช่องโหว่ที่ระบุมีผลกระทบต่อระบบของคุณหรือไม่ให้ดาวน์โหลดและเรียกใช้เครื่องมือตรวจจับเวอร์ชัน Intel CSME โดยใช้ลิงก์ด้านล่าง

ส่วนคำถามที่พบบ่อย

แหล่งทรัพยากรที่มีอยู่

แหล่งข้อมูลสำหรับผู้ใช้ Microsoft และ Linux *

ทรัพยากรจากผู้ผลิตระบบ/เมนบอร์ด

หมาย เหตุจะมีการเชื่อมโยงสำหรับผู้ผลิตระบบ/ผู้ผลิตมาเธอร์บอร์ดของคุณเมื่อมี หากผู้ผลิตของคุณไม่อยู่ในรายการโปรดติดต่อพวกเขาเพื่อดูข้อมูลเกี่ยวกับการอัปเดตซอฟต์แวร์ที่จำเป็น


คำ ถาม:

ถาม: เครื่องมือตรวจหาเวอร์ชัน Intel CSME รายงานว่าระบบของฉันมีความเสี่ยง ฉันจะทำอะไรได้บ้าง
A:
Intel ได้ให้ผู้ผลิตระบบและมาเธอร์บอร์ดด้วยการอัปเดตเฟิร์มแวร์และซอฟต์แวร์ที่จำเป็นในการแก้ไขช่องโหว่ที่ระบุไว้ในคำแนะนำการรักษาความปลอดภัย Intel-SA-๐๐๐๘๖

ติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของคุณเกี่ยวกับแผนของพวกเขาเพื่อทำให้การอัปเดทที่มีให้สำหรับผู้ใช้ปลายทาง

ผู้ผลิตบางรายให้การเชื่อมโยงโดยตรงแก่ลูกค้าเพื่อรับข้อมูลเพิ่มเติมและอัพเดทซอฟต์แวร์ที่มีอยู่ (โปรดดูรายการด้านล่าง)

คำถาม: ทำไมฉันถึงต้องติดต่อผู้ผลิตระบบหรือเมนบอร์ดของฉัน เหตุใด Intel จึงไม่สามารถให้การอัปเดตที่จำเป็นสำหรับระบบของฉันได้
A:
Intel ไม่สามารถให้การอัปเดตที่ ทั่ว ไปได้เนื่องจากการปรับแต่งเฟิร์มแวร์ของกลไกจัดการที่ดำเนินการโดยผู้ผลิตระบบและมาเธอร์บอร์ดของคุณ

ถาม: ระบบของฉันถูกรายงานว่า อาจมีช่องโหว่ ที่เครื่องมือตรวจจับเวอร์ชัน Intel csme ฉันจะทำอะไรได้บ้าง
A:
สถานะอาจมีช่อง โหว่ ที่มักจะเห็นเมื่อไดรเวอร์ต่อไปนี้ไม่ได้รับการติดตั้ง:

  • ไดรเวอร์อินเตอร์เฟซสำหรับโปรแกรมการจัดการจาก Intel® (Intel® MEI)
หรือ
  • ไดรเวอร์ Intel® Trusted Execution Engine Interface (Intel® TXEI)

ติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของคุณเพื่อขอรับไดรเวอร์ที่ถูกต้องสำหรับระบบของคุณ

ถาม: ผู้ผลิตระบบหรือมาเธอร์บอร์ดของฉันไม่ได้แสดงอยู่ในรายการของคุณ ฉันจะทำอะไรได้บ้าง
คำ:
รายการด้านล่างแสดงลิงก์จากผู้ผลิตระบบหรือมาเธอร์บอร์ดของคุณที่ให้ข้อมูลเกี่ยวกับ Intel หากผู้ผลิตของคุณไม่แสดงให้ติดต่อพวกเขาโดยใช้กลไกการสนับสนุนมาตรฐาน (เว็บไซต์โทรศัพท์อีเมลและอื่นๆ) เพื่อขอความช่วยเหลือ

คำถาม: การเข้าถึงประเภทใดบ้างที่โจมตีจะต้องใช้ประโยชน์จากช่องโหว่ที่ระบุ
A:
หากผู้ผลิตอุปกรณ์ทำให้การป้องกันการเขียน Flash Descriptor ที่ Intel แนะนำผู้โจมตีต้องการการเข้าถึงทางกายภาพ ไปยังเฟิร์มแวร์ของแพลตฟอร์มแฟลชเพื่อใช้ประโยชน์จากช่องโหว่ที่ระบุไว้ใน:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

ผู้โจมตีจะได้รับสิทธิ์เข้าถึงทางกายภาพด้วยการอัปเดตระดับเฟิร์มแวร์ที่เป็นอันตรายผ่านทางโปรแกรมเมอร์ flash ที่เชื่อมต่อกับหน่วยความจำแฟลชของแพลตฟอร์มด้วยตนเอง การป้องกันการเขียนด้วย Flash Descriptor คือการตั้งค่าแพลตฟอร์มโดยปกติแล้วจะมีการตั้งค่าเมื่อสิ้นสุดการผลิต การป้องกันการเขียน flash Descriptor จะป้องกันไม่ให้มีการเปลี่ยนแปลงการตั้งค่า Flash จากการถูกเปิดใช้งานโดยไม่ตั้งใจหรือโดยไม่ตั้งใจหลังจากการผลิตเสร็จสมบูรณ์

หากผู้ผลิตอุปกรณ์ไม่เปิดใช้งานการป้องกันการเขียน Flash Descriptor ที่ Intel แนะนำผู้โจมตีจำเป็นต้องมีสิทธิ์การใช้งานเคอร์เนล (การเข้าถึงแบบลอจิคัลวงแหวนระบบปฏิบัติการ 0) ผู้โจมตีต้องการการเข้าถึงนี้เพื่อใช้ประโยชน์จากช่องโหว่ที่ระบุโดยใช้ภาพเฟิร์มแวร์ที่เป็นอันตรายไปยังแพลตฟอร์มผ่านไดรเวอร์แพลตฟอร์มที่เป็นอันตราย

ช่องโหว่ที่ระบุไว้ใน CVE-2017-5712 คือ exploitable จาก ระยะไกล ผ่านเครือข่ายร่วมกับข้อมูลประจำตัวโปรแกรมการจัดการจาก Intel®การดูแลที่ถูกต้อง ช่องโหว่ไม่ exploitable หากไม่มีข้อมูลประจำตัวของผู้ดูแลที่ถูกต้อง

หากคุณต้องการความช่วยเหลือเพิ่มเติมโปรดติดต่อ ฝ่ายสนับสนุนลูกค้าของ Intel เพื่อส่งคำขอบริการออนไลน์