การอัปเดตเฟิร์มแวร์สําคัญโปรแกรมการจัดการจาก Intel® (Intel-SA-00086)
ช่องโหว่ของโปรแกรมการจัดการจาก Intel® (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), โปรแกรมสำหรับการทำงานที่เชื่อถือได้จาก Intel® (Intel® TXE 3.0) และ Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)
โน้ต | บทความนี้อธิบายถึงปัญหาที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัยที่พบใน Intel® Management Engine Firmware บทความนี้ไม่มีข้อมูลที่เกี่ยวข้องกับช่องโหว่สําหรับช่องทางด้านข้างของโปรเซสเซอร์ (หรือ Meltdown/Spectre) หากคุณกําลังค้นหาข้อมูลเกี่ยวกับปัญหาด้าน Meltdown/Spectre ให้ไปที่ ข้อเท็จจริงด้านการวิเคราะห์ Side-Channel และผลิตภัณฑ์ Intel® |
เพื่อรับมือกับปัญหาที่นักวิจัยภายนอกพบ Intel ได้ทําการตรวจสอบด้านการรักษาความปลอดภัยเชิงลึกอย่างครอบคลุมในผลิตภัณฑ์ต่อไปนี้เพื่อวัตถุประสงค์ด้านการยกระดับความยืดหยุ่นของเฟิร์มแวร์
- โปรแกรมการจัดการจาก Intel® (Intel® ME)
- โปรแกรมสำหรับการทำงานที่เชื่อถือได้จาก Intel® (Intel® TXE)
- Intel® Server Platform Services (SPS)
Intel ได้ระบุพบช่องโหว่ด้านการรักษาความปลอดภัยที่อาจส่งผลกระทบต่อพีซี เซิร์ฟเวอร์ และแพลตฟอร์ม IoT บางตัวได้
ระบบที่ได้รับผลกระทบคือระบบที่ใช้เฟิร์มแวร์ Intel ME เวอร์ชั่น 6.x-11.x, เซิร์ฟเวอร์ที่ใช้เฟิร์มแวร์ SPS เวอร์ชั่น 4.0 และระบบที่ใช้ TXE เวอร์ชั่น 3.0 คุณอาจพบเฟิร์มแวร์ในเวอร์ชั่นเหล่านี้ในโปรเซสเซอร์บางรุ่นตั้งแต่:
- ตระกูลโปรเซสเซอร์ Intel® Core™ เจนเนอเรชั่น 1, 2, 3, 4, 5, 6, 7 และ 8
- ตระกูลผลิตภัณฑ์โปรเซสเซอร์ Intel® Xeon® E3-1200 v5 และ v6
- โปรเซสเซอร์ Intel® Xeon® ตระกูล Scalable
- โปรเซสเซอร์ Intel® Xeon® W
- ตระกูลโปรเซสเซอร์ Intel Atom® C3000
- โปรเซสเซอร์ Apollo Lake Intel Atom® ซีรีส์ E3900
- Apollo Lake โปรเซสเซอร์ Intel® Pentium®
- โปรเซสเซอร์ Intel® Pentium® ซีรี่ส์ G
- โปรเซสเซอร์ Intel® Celeron® ซีรีส์ G, N และ J
หากต้องการดูว่าช่องโหว่ที่ระบุส่งผลต่อระบบของคุณหรือไม่ ให้ดาวน์โหลดและเรียกใช้งานเครื่องมือตรวจหาเวอร์ชัน Intel CSME โดยใช้ลิงก์ด้านล่าง
ส่วนคําถามที่พบบ่อย
แหล่งข้อมูลที่มี
- คําแนะนําด้านการรักษาความปลอดภัยอย่างเป็นทางการของ Intel: รายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่
แหล่งข้อมูลสําหรับผู้ใช้ Microsoft และ Linux*
แหล่งข้อมูลจากผู้ผลิตระบบ/เมนบอร์ด
โน้ต | ลิงก์สําหรับผู้ผลิตระบบ/มาเธอรบอร์ดจะมีการให้ไว้เมื่อมีการใช้งาน หากผู้ผลิตของคุณไม่อยู่ในรายการ ให้ติดต่อผู้ผลิตเพื่อขอข้อมูลเกี่ยวกับการอัปเดตซอฟต์แวร์ที่จําเป็น |
- ASRock: ข้อมูลสนับสนุน
- ASUS: ข้อมูลสนับสนุน
- Compulab: ข้อมูลสนับสนุน
- Dell Client: ข้อมูลสนับสนุน
- Dell Server: ข้อมูลสนับสนุน
- Fujitsu: ข้อมูลสนับสนุน
- GIGABYTE: ข้อมูลสนับสนุน
- HPE Servers: ข้อมูลสนับสนุน
- Intel® NUC และ Intel® Compute Stick: ข้อมูลสนับสนุน
- Intel® Servers: ข้อมูลสนับสนุน
- Lenovo: ข้อมูลสนับสนุน
- Microsoft Surface*: ข้อมูลสนับสนุน
- NEC: ข้อมูลสนับสนุน
- Oracle: ข้อมูลสนับสนุน
- Panasonic: ข้อมูลสนับสนุน
- Quanta/QCT: ข้อมูลสนับสนุน
- Siemens: ข้อมูลสนับสนุน
- Supermicro: ข้อมูลสนับสนุน
- Toshiba: ข้อมูลสนับสนุน
- Vaio: ข้อมูลสนับสนุน
คําถาม: เครื่องมือตรวจหาเวอร์ชั่น Intel CSME รายงานว่าระบบของฉันมีช่องโหว่ ฉันควรทําอย่างไร
คําตอบ: Intel ได้ให้การอัปเดตเฟิร์มแวร์และซอฟต์แวร์แก่ผู้ผลิตระบบและมาเธอร์บอร์ดเพื่อแก้ไขปัญหาช่องโหว่ที่ระบุใน Intel-SA-00086 คําแนะนําด้านความปลอดภัย
ติดต่อผู้ผลิตระบบหรือมาเธอรบอร์ดของคุณเกี่ยวกับแผนเพื่อช่วยให้ผู้ใช้เข้าถึงอัปเดตต่างๆ ได้
ผู้ผลิตบางรายให้ลิงก์ตรงไว้กับ Intel เพื่อให้ลูกค้าสามารถรับการอัปเดตซอฟต์แวร์ที่มีและข้อมูลเพิ่มเติมได้ (ดูรายการด้านล่าง)
คําถาม: ทําไมฉันถึงต้องติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของฉันด้วย ทําไม Intel ไม่สามารถให้การอัปเดตที่จําเป็นกับระบบของฉันได้
คําตอบ: Intel ไม่สามารถให้การอัปเดต ทั่วไป ได้ เนื่องจากการปรับแต่งเฟิร์มแวร์ของเอ็นจินการจัดการที่ดําเนินการโดยผู้ผลิตระบบและมาเธอร์บอร์ด
คําถาม: เครื่องมือตรวจหาเวอร์ชั่น Intel CSME รายงานว่าระบบของฉัน อาจมีช่องโหว่ ฉันควรทําอย่างไร
ตอบ: โดยปกติสถานะ อาจเป็น Vulnerable เมื่อไดรเวอร์ตัวใดตัวหนึ่งต่อไปนี้ไม่ได้รับการติดตั้ง:
- ไดรเวอร์ อินเตอร์เฟซสำหรับโปรแกรมการจัดการจาก Intel® (Intel® MEI)
- ไดรเวอร์ Intel® Trusted Execution Engine Interface (Intel® TXEI)
ติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของคุณเพื่อขอรับไดรเวอร์ที่ถูกต้องสําหรับระบบของคุณ
คําถาม: ไม่ได้แสดงผู้ผลิตระบบหรือเมนบอร์ดของฉันในรายการของคุณ ฉันควรทําอย่างไร
คําตอบ: รายการด้านล่างแสดงลิงก์จากผู้ผลิตระบบหรือเมนบอร์ดที่ให้ข้อมูลกับ Intel หากไม่ได้แสดงผู้ผลิตของคุณ ให้ติดต่อพวกเขาโดยใช้กลไกการสนับสนุนมาตรฐาน (เว็บไซต์ โทรศัพท์ อีเมล และอื่นๆ) เพื่อขอความช่วยเหลือ
คําถาม: ประเภทการเข้าใช้งานแบบใดที่ผู้โจมตีต้องการใช้ในการเจาะช่องโหว่ที่ระบุ
คําตอบ: หากผู้ผลิตอุปกรณ์เปิดใช้งานการป้องกันการเขียน Flash Descriptor ที่ Intel แนะนํา ผู้โจมตีจะต้องเข้าถึงแฟลชเฟิร์มแวร์ของแพลตฟอร์ม ทางกายภาพ เพื่อหาช่องโหว่ที่ระบุใน:
- CVE-2017-5705
- CVE-2017-5706
- CVE-2017-5707
- CVE-2017-5708
- CVE-2017-5709
- CVE-2017-5710
- CVE-2017-5711
การสิ้นสุดการผลิต
ผู้โจมตีจะได้สิทธิ์การเข้าใช้งานทางกายภาพจากการอัปเดตแพลตฟอร์มด้วยตัวเองผ่านไฟล์อิมเมจของเฟิร์มแวร์ที่เป็นอันตรายผ่านตัวตั้งโปรแกรมแฟลชที่เชื่อมต่อทางกายภาพกับหน่วยความจําแฟลชของแพลตฟอร์ม การป้องกันการเขียน Flash Descriptor เป็นการตั้งค่าแพลตฟอร์มที่มักตั้งค่าไว้ตอน ท้ายของการผลิต การป้องกันการเขียน Flash Descriptor ปกป้องการตั้งค่าบน Flash จากการเปลี่ยนที่เป็นอันตรายหรือโดยไม่ได้ตั้งใจหลังจากการผลิตเสร็จสมบูรณ์
หากผู้ผลิตอุปกรณ์ไม่ได้เปิดใช้งานการป้องกันการเขียน Flash Descriptor ที่ Intel แนะนํา ผู้โจมตีจะต้องมีสิทธิ์การเข้าใช้งานเคอร์เนลในระบบปฏิบัติการ (การเข้าใช้งานผ่านระบบเครือข่าย, Ring 0 ของระบบปฏิบัติการ) ผู้โจมตีต้องมีสิทธิ์การเข้าใช้งานนี้เพื่อเจาะช่องโหว่ที่ระบุ ด้วยการใช้ไฟล์อิมเมจของเฟิร์มแวร์ที่เป็นอันตรายกับแพลตฟอร์มผ่านไดรเวอร์ของแพลตฟอร์มที่เป็นอันตราย
ช่องโหว่ที่ระบุใน CVE-2017-5712 สามารถเจาะ จากระยะไกล ผ่านเครือข่ายที่มีข้อมูลประจําตัวของโปรแกรมการจัดการจาก Intel®การดูแลระบบที่ถูกต้อง หรือก็คือจะไม่สามารถเจาะช่องโหว่ได้ หากไม่มีข้อมูลประจําตัวเพื่อการดูแลระบบที่ถูกต้อง
หากคุณต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อ Intel Customer Support เพื่อส่งคําขอรับบริการออนไลน์