การอัปเดตเฟิร์มแวร์สําคัญ Intel® Management Engine (Intel-SA-00086)
ช่องโหว่ของ Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) และ Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)
| หมาย เหตุ | บทความนี้อธิบายถึงปัญหาที่เกี่ยวข้องกับช่องโหว่ด้านการรักษาความปลอดภัยที่พบในIntel® Management Engine Firmware บทความนี้ไม่มีข้อมูลที่เกี่ยวข้องกับช่องโหว่สําหรับ Side-Channel ของโปรเซสเซอร์ (หรือ Meltdown/Spectre) หากคุณกําลังมองหาข้อมูลเกี่ยวกับปัญหาด้าน Meltdown/Spectre ให้ไปที่ข้อเท็จจริงด้านการวิเคราะห์ Side-Channel และผลิตภัณฑ์ Intel® |
เพื่อรับมือกับปัญหาที่นักวิจัยภายนอกพบ Intel ได้ทําการตรวจสอบด้านการรักษาความปลอดภัยเชิงลึกอย่างครอบคลุมในผลิตภัณฑ์ต่อไปนี้เพื่อวัตถุประสงค์ในการเพิ่มความยืดหยุ่นของเฟิร์มแวร์:
- Intel® Management Engine (Intel® ME)
- Intel® Trusted Execution Engine (Intel® TXE)
- Intel® Server Platform Services (SPS)
Intel ได้ระบุช่องโหว่ด้านความปลอดภัยที่อาจส่งผลกระทบต่อพีซี เซิร์ฟเวอร์ และแพลตฟอร์ม IoT บางตัวได้
ระบบที่ได้รับผลกระทบคือระบบที่ใช้เฟิร์มแวร์ Intel ME เวอร์ชั่น 6.x-11.x, เซิร์ฟเวอร์ที่ใช้เฟิร์มแวร์ SPS เวอร์ชั่น 4.0 และระบบที่ใช้ TXE เวอร์ชั่น 3.0 คุณอาจพบเฟิร์มแวร์ในเวอร์ชั่นเหล่านี้ในโปรเซสเซอร์บางรุ่นตั้งแต่:
- ตระกูลโปรเซสเซอร์ Intel® Core™ เจนเนอเรชั่น 1, 2, 3, 4, 5, 6, 7 และ 8
- ตระกูลผลิตภัณฑ์โปรเซสเซอร์ Intel® Xeon® E3-1200 v5 และ v6
- โปรเซสเซอร์ Intel® Xeon® ตระกูลที่ปรับขนาดได้
- โปรเซสเซอร์ Intel® Xeon® W
- ตระกูลโปรเซสเซอร์ Intel® Atom® C3000
- โปรเซสเซอร์ Apollo Lake Intel® Atom® ซีรี่ส์ E3900
- โปรเซสเซอร์ intel® Pentium® Apollo Lake
- โปรเซสเซอร์ Intel® Pentium® ซีรี่ส์ G
- โปรเซสเซอร์ Intel® Celeron® ซีรีส์ G, N และ J
หากต้องการดูว่าช่องโหว่ที่ระบุส่งผลต่อระบบของคุณหรือไม่ ให้ดาวน์โหลดและเรียกใช้งานเครื่องมือตรวจหาเวอร์ชั่นIntel CSMEโดยใช้ลิงก์ด้านล่าง
ส่วนคําถามที่พบบ่อย
แหล่งข้อมูลที่มีอยู่
- คําแนะนําด้านการรักษาความปลอดภัยอย่างเป็นทางการของ Intel:รายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่
แหล่งข้อมูลสําหรับผู้ใช้ Microsoft และ Linux*
แหล่งข้อมูลจากผู้ผลิตระบบ/มาเธอร์บอร์ด
| หมาย เหตุ | ลิงก์สําหรับผู้ผลิตระบบ/มาเธอร์บอร์ดจะมีการให้ไว้เมื่อมีให้ หากผู้ผลิตของคุณไม่อยู่ในรายการ ให้ติดต่อผู้ผลิตเพื่อขอข้อมูลเกี่ยวกับการอัปเดตซอฟต์แวร์ที่จําเป็น |
- ASRock: ข้อมูลสนับสนุน
- ASUS: ข้อมูลสนับสนุน
- Compulab: ข้อมูลสนับสนุน
- Dell Client: ข้อมูลสนับสนุน
- เซิร์ฟเวอร์ Dell: ข้อมูลสนับสนุน
- Fujitsu: ข้อมูลสนับสนุน
- Getac: ข้อมูลสนับสนุน
- GIGABYTE: ข้อมูลสนับสนุน
- HP Inc.: ข้อมูลสนับสนุน
- เซิร์ฟเวอร์ HPE: ข้อมูลสนับสนุน
- Intel® NUC และ Intel® Compute Stick: ข้อมูลสนับสนุน
- เซิร์ฟเวอร์ Intel®: ข้อมูลสนับสนุน
- Lenovo: ข้อมูลสนับสนุน
- Microsoft Surface*: ข้อมูลสนับสนุน
- NEC: ข้อมูลสนับสนุน
- Oracle: ข้อมูลสนับสนุน
- Panasonic: ข้อมูลสนับสนุน
- Quanta/QCT: ข้อมูลสนับสนุน
- Siemens: ข้อมูลสนับสนุน
- Supermicro: ข้อมูลสนับสนุน
- Toshiba: ข้อมูลสนับสนุน
- Vaio: ข้อมูลสนับสนุน
คําถาม: เครื่องมือตรวจหาเวอร์ชั่นของ Intel CSME รายงานว่าระบบของฉันมีช่องโหว่ ฉันควรทําอย่างไร
คําตอบ: Intel ได้จัดเตรียมการอัปเดตซอฟต์แวร์และเฟิร์มแวร์ที่จําเป็นไว้ให้กับผู้ผลิตระบบและมาเธอร์บอร์ดเพื่อแก้ไขช่องโหว่ที่ระบุไว้ในคําแนะนําด้านความปลอดภัย Intel-SA-00086
ติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของคุณเกี่ยวกับแผนเพื่อช่วยให้ผู้ใช้เข้าถึงอัปเดตต่างๆ ได้
ผู้ผลิตบางรายให้ลิงก์ตรงไว้กับ Intel เพื่อให้ลูกค้าสามารถรับการอัปเดตซอฟต์แวร์ที่มีและข้อมูลเพิ่มเติมได้ (ดูรายการด้านล่าง)
คําถาม: ทําไมฉันถึงต้องติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของฉันด้วย ทําไม Intel ไม่สามารถให้การอัปเดตที่จําเป็นกับระบบของฉันได้
คําตอบ: Intel ไม่สามารถจัดให้มีการอัปเดต ทั่วไป ได้ เนื่องจากการปรับใช้เฟิร์มแวร์กลไกจัดการที่ผู้ผลิตระบบและมาเธอร์บอร์ดทําไว้
คําถาม: เครื่องมือตรวจหาเวอร์ชั่นของ Intel CSME รายงานว่าระบบของฉัน อาจมีช่องโหว่ ฉันควรทําอย่างไร
คําตอบ: มักพบสถานะ อาจมีช่องโหว่ เมื่อไม่ได้ติดตั้งไดรเวอร์ต่อไปนี้:
- ไดรเวอร์ Intel® Management Engine Interface (Intel® MEI)
- ไดรเวอร์ Intel® Trusted Execution Engine Interface (Intel® TXEI)
ติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของคุณเพื่อขอรับไดรเวอร์ที่ถูกต้องสําหรับระบบของคุณ
คําถาม: ไม่ได้แสดงผู้ผลิตระบบหรือมาเธอร์บอร์ดของฉันในรายการของคุณ ฉันควรทําอย่างไร
คําตอบ: รายการด้านล่างแสดงลิงก์จากผู้ผลิตระบบหรือมาเธอร์บอร์ดที่ได้ให้ข้อมูลไว้กับ Intel หากไม่ได้แสดงผู้ผลิตของคุณ ให้ติดต่อพวกเขาโดยใช้กลไกการสนับสนุนมาตรฐาน (เว็บไซต์ โทรศัพท์ อีเมล และอื่นๆ) เพื่อขอความช่วยเหลือ
คําถาม: ประเภทการเข้าใช้งานแบบใดที่ผู้โจมตีต้องการใช้ในการเจาะช่องโหว่ที่ระบุ
คําตอบ: หากผู้ผลิตอุปกรณ์เปิดใช้งานการป้องกันการเขียน Flash Descriptor ที่ Intel แนะนํา ผู้โจมตีจะต้อง มีสิทธิ์การเข้าใช้งานทางกายภาพ ในเฟิร์มแวร์แฟลชของแพลตฟอร์มเพื่อเจาะช่องโหว่ที่ระบุไว้ใน:
- CVE-2017-5705
- CVE-2017-5706
- CVE-2017-5707
- CVE-2017-5708
- CVE-2017-5709
- CVE-2017-5710
- CVE-2017-5711
การสิ้นสุดการผลิต
ผู้โจมตีจะได้สิทธิ์การเข้าใช้งานทางกายภาพจากการอัปเดตแพลตฟอร์มด้วยตัวเองผ่านไฟล์อิมเมจของเฟิร์มแวร์ที่เป็นอันตรายผ่านตัวตั้งโปรแกรมแฟลชที่เชื่อมต่อทางกายภาพกับหน่วยความจําแฟลชของแพลตฟอร์ม การป้องกันการเขียน Flash Descriptor เป็นการตั้งค่าแพลตฟอร์มที่มักตั้งค่าไว้ตอน ท้ายของการผลิต การป้องกันการเขียน Flash Descriptor จะป้องกันไม่ให้มีการเปลี่ยนแปลงกับการตั้งค่าแฟลชที่เป็นอันตรายหรือโดยไม่ตั้งใจหลังจากที่ทําการผลิตเสร็จสิ้นแล้ว
หากผู้ผลิตอุปกรณ์ไม่ได้เปิดใช้งานการป้องกันการเขียน Flash Descriptor ที่ Intel แนะนํา ผู้โจมตีจะต้องมีสิทธิ์การเข้าใช้งานเคอร์เนลในระบบปฏิบัติการ (การเข้าถึงแบบลอจิคัล, Ring 0 ของระบบปฏิบัติการ) ผู้โจมตีต้องมีสิทธิ์การเข้าใช้งานนี้เพื่อเจาะช่องโหว่ที่ระบุโดยการใช้ไฟล์อิมเมจของเฟิร์มแวร์ที่เป็นอันตรายกับแพลตฟอร์มผ่านไดรเวอร์ของแพลตฟอร์มที่เป็นอันตราย
ช่องโหว่ที่ระบุใน CVE-2017-5712 สามารถเจาะจาก ระยะไกล ผ่านเครือข่ายที่มีข้อมูลประจําตัวIntel® Management Engineการดูแลระบบที่ถูกต้อง จะไม่สามารถเจาะช่องโหว่ได้หากไม่มีข้อมูลประจําตัวเพื่อการดูแลระบบที่ถูกต้อง
หากคุณต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อ ฝ่ายสนับสนุนลูกค้า Intel เพื่อส่งคําขอรับบริการแบบออนไลน์
