Intel® Management Engineเฟิร์มแวร์ที่วิกฤต (Intel-SA-00086)

เอกสาร

การแก้ไขปัญหา

000025619

07/07/2021

Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) และ Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

หมาย เหตุบทความนี้อธิบายถึงปัญหาที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัยที่พบในIntel® Management Engine Firmwareเครือข่าย บทความนี้ ไม่มีข้อมูลที่เกี่ยวข้องกับ ช่องโหว่แบบ Side-channel ของโปรเซสเซอร์ (หรือ Meltdown/Spectre) หากคุณมองหาข้อมูลเกี่ยวกับปัญหาด้าน Meltdown/Spectre ให้ไปที่ ข้อเท็จจริง ด้านการวิเคราะห์ Side-Channel และผลิตภัณฑ์ Intel®

เพื่อตอบสนองต่อปัญหาที่นักวิจัยภายนอกพบ Intel ได้ตรวจสอบด้านการรักษาความปลอดภัยเชิงลึกอย่างครอบคลุมในผลิตภัณฑ์ต่อไปนี้เพื่อวัตถุประสงค์ด้านการยกระดับความยืดหยุ่นของเฟิร์มแวร์

  • Intel® Management Engine (Intel® ME)
  • Intel® Trusted Execution Engine (Intel® TXE)
  • Intel® Server Platform Services (SPS)

Intel ได้ระบุช่องโหว่ด้านการรักษาความปลอดภัยที่อาจส่งผลกระทบต่อพีซี เซิร์ฟเวอร์ และแพลตฟอร์ม IoT บางตัวได้

ระบบที่Intel MEเวอร์ชั่นเฟิร์มแวร์เวอร์ชั่น 6.x-11.x, เซิร์ฟเวอร์ที่ใช้เฟิร์มแวร์ SPS เวอร์ชั่น 4.0 และระบบที่ใช้ TXT เวอร์ชั่น 3.0 จะได้รับผลกระทบ คุณอาจพบเฟิร์มแวร์ในเวอร์ชั่นเหล่านี้ในโปรเซสเซอร์บางรุ่นตั้งแต่:

  • ตระกูลโปรเซสเซอร์เจนเนอเรIntel® Core™ 1, 2, 3, 4, 5, 6, 7 และ 8
  • Intel® Xeon®ผลิตภัณฑ์โปรเซสเซอร์ E3-1200 v5 และ v6
  • Intel® Xeon®โปรเซสเซอร์ตระกูล Scalable
  • Intel® Xeon® W Processor
  • Intel® Atom®ตระกูลโปรเซสเซอร์ C3000
  • Apollo Lake Intel® Atom®โปรเซสเซอร์ซีรี่ส์ E3900
  • Apollo Lakeโปรเซสเซอร์ Intel® Pentium®
  • โปรเซสเซอร์ Intel® Pentium® ซีรี่ส์ G
  • โปรเซสเซอร์ Intel® Celeron® G, N และ J ซีรี่ส์

หากต้องการดูว่าช่องโหว่ที่ระบุส่งผลต่อระบบหรือไม่ ให้ดาวน์โหลดและเรียกใช้Intel CSMEตรวจหาเวอร์ชั่นล่าสุดโดยใช้ลิงก์ด้านล่าง

ส่วนถามที่พบบ่อย

แหล่งข้อมูลที่พร้อมให้บริการ

แหล่งข้อมูลของผู้ใช้ Microsoft และ Linux*

แหล่งข้อมูลจากผู้ผลิตระบบ/มาเธอร์บอร์ด

หมาย เหตุลิงก์ของผู้ผลิตระบบ/มาเธอร์บอร์ดจะได้รับให้เมื่อมีให้ หากผู้ผลิตของคุณไม่อยู่ในรายการ ให้ติดต่อผู้ผลิตเพื่อสอบถามข้อมูลเกี่ยวกับการอัปเดตซอฟต์แวร์ที่จําเป็น


คำ ถาม:

ถาม: เครื่องมือIntel CSMEเวอร์ชั่นล่าสุดรายงานว่าระบบของฉันมีช่องโหว่ ฉันควรทาอย่างไร
A:
Intel ได้จัดเตรียมการอัปเดตซอฟต์แวร์และเฟิร์มแวร์ที่จําเป็นไว้ให้กับผู้ผลิตระบบและมาเธอร์บอร์ดเพื่อแก้ไขช่องโหว่ที่ระบุไว้ในการรักษาความปลอดภัย Advisory Intel-SA-00086

ติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของคุณเกี่ยวกับแผนของตนเพื่อให้การอัปเดตพร้อมใช้งานแก่ผู้ใช้ปลายทาง

ผู้ผลิตบางรายได้จัดเตรียมลิงก์ตรงไว้ให้กับ Intel เพื่อให้ลูกค้าสามารถรับการอัปเดตซอฟต์แวร์ที่มีและข้อมูลเพิ่มเติมได้ (ดูรายการด้านล่าง)

ถาม: เหตุใดฉันถึงต้องติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของฉัน เหตุใด Intel ไม่สามารถให้การอัปเดตที่จําเป็นกับระบบของฉันได้
ที่อยู่:
Intel ไม่สามารถจัดให้มี การอัปเดตทั่วไปได้ เนื่องจากการปรับตั้งค่าเฟิร์มแวร์กลไกจัดการที่ผู้ผลิตระบบและมาเธอร์บอร์ดกําหนด

ถาม: เครื่องมือตรวจหา เวอร์ชั่นของ Intel CSME รายงานว่าระบบของฉันอาจมีช่องโหว่ ฉันควรทาอย่างไร
A:
มัก พบสถานะ อาจมีช่องโหว่เมื่อไม่ได้ติดตั้งไดรเวอร์ต่อไปนี้:

  • Intel® Management Engine Interface (Intel® MEI)
หรือ
  • Intel® Trusted Execution Engine Interface (Intel® TXEI)

ติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของคุณเพื่อขอรับไดรเวอร์ที่ถูกต้องให้กับระบบของคุณ

ถาม: ไม่ได้แสดงผู้ผลิตระบบหรือมาเธอร์บอร์ดของฉันในรายการของคุณ ฉันควรทาอย่างไร
ที่อยู่:
รายการด้านล่างแสดงลิงก์จากผู้ผลิตระบบหรือมาเธอร์บอร์ดที่ได้ให้ข้อมูลไว้กับ Intel หากผู้ผลิตของคุณไม่ปรากฏ ให้ติดต่อผู้ผลิตโดยใช้กลไกการสนับสนุนมาตรฐาน (เว็บไซต์ โทรศัพท์ อีเมล และอื่นๆ) เพื่อขอความช่วยเหลือ

ถาม: ประเภทการเข้าใช้งานแบบใดที่ผู้โจมตีต้องการเพื่อเจาะช่องโหว่ที่ระบุ
ค าอธิบาย:
หากผู้ผลิตอุปกรณ์เปิดใช้งานการป้องกันการเขียน Flash Descriptor ที่ Intelแนะทาง ผู้โจมตีจะต้องมีสิทธิ์การเข้าใช้งานทางกายภาพกับ Firmware Flash ของแพลตฟอร์มเพื่อเจาะช่องโหว่ที่ระบุไว้ใน:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

การสิ้นสุดการผลิต

ผู้โจมตีจะมีสิทธิ์การเข้าใช้งานทางกายภาพจากการอัปเดตแพลตฟอร์มด้วยตัวเองผ่านไฟล์อิมเมจของเฟิร์มแวร์ที่เป็นอันตรายผ่านตัวตั้งโปรแกรมแฟลชที่เชื่อมต่อทางกายภาพกับหน่วยความจําแฟลชของแพลตฟอร์ม การป้องกันการเขียน Flash Descriptor เป็นการตั้งค่าแพลตฟอร์มที่มักตั้งค่า ไว้ตอนท้ายของการผลิต การป้องกันการเขียน Flash Descriptor จะป้องกันไม่ให้มีการเปลี่ยนแปลงกับการตั้งค่าแฟลชที่เป็นอันตรายหรือโดยไม่ตั้งใจ หลังจากที่เสร็จสิ้นการผลิตแล้ว

หากผู้ผลิตอุปกรณ์ไม่ได้เปิดใช้งานการป้องกันการเขียน Flash Descriptor ที่ Intel แนะทาง ผู้โจมตีจะต้องมีสิทธิ์การเข้าใช้งานเคอร์เนลในระบบปฏิบัติการ (การเข้าใช้งานผ่านระบบเครือข่าย , Ring 0 ของระบบปฏิบัติการ) ผู้โจมตีต้องมีสิทธิ์การเข้าใช้งานนี้เพื่อหาช่องโหว่ที่ระบุ โดยใช้ไฟล์อิมเมจของเฟิร์มแวร์ที่เป็นอันตรายกับแพลตฟอร์มผ่านไดรเวอร์ของแพลตฟอร์มที่เป็นอันตราย

ช่องโหว่ที่ระบุใน CVE-2017-5712 สามารถเจาะได้จากระยะไกลผ่านเครือข่ายที่มีข้อมูลรับรองการจัดการIntel® Management Engineที่ถูกต้อง ไม่สามารถเจาะช่องโหว่ได้ หากไม่มีข้อมูลรับรองเพื่อการดูแลระบบที่ถูกต้อง

หากคุณต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อ ฝ่ายสนับสนุนลูกค้า Intel เพื่อส่งการร้องขอบริการแบบออนไลน์