การอัปเดตเฟิร์มแวร์สําคัญ Intel® Management Engine (Intel-SA-00086)

เอกสาร

การแก้ไขปัญหา

000025619

17/08/2021

ช่องโหว่ของ Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) และ Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

หมาย เหตุบทความนี้อธิบายถึงปัญหาที่เกี่ยวข้องกับช่องโหว่ด้านการรักษาความปลอดภัยที่พบในIntel® Management Engine Firmware บทความนี้ไม่มีข้อมูลที่เกี่ยวข้องกับช่องโหว่สําหรับ Side-Channel ของโปรเซสเซอร์ (หรือ Meltdown/Spectre) หากคุณกําลังมองหาข้อมูลเกี่ยวกับปัญหาด้าน Meltdown/Spectre ให้ไปที่ข้อเท็จจริงด้านการวิเคราะห์ Side-Channel และผลิตภัณฑ์ Intel®

เพื่อรับมือกับปัญหาที่นักวิจัยภายนอกพบ Intel ได้ทําการตรวจสอบด้านการรักษาความปลอดภัยเชิงลึกอย่างครอบคลุมในผลิตภัณฑ์ต่อไปนี้เพื่อวัตถุประสงค์ในการเพิ่มความยืดหยุ่นของเฟิร์มแวร์:

  • Intel® Management Engine (Intel® ME)
  • Intel® Trusted Execution Engine (Intel® TXE)
  • Intel® Server Platform Services (SPS)

Intel ได้ระบุช่องโหว่ด้านความปลอดภัยที่อาจส่งผลกระทบต่อพีซี เซิร์ฟเวอร์ และแพลตฟอร์ม IoT บางตัวได้

ระบบที่ได้รับผลกระทบคือระบบที่ใช้เฟิร์มแวร์ Intel ME เวอร์ชั่น 6.x-11.x, เซิร์ฟเวอร์ที่ใช้เฟิร์มแวร์ SPS เวอร์ชั่น 4.0 และระบบที่ใช้ TXE เวอร์ชั่น 3.0 คุณอาจพบเฟิร์มแวร์ในเวอร์ชั่นเหล่านี้ในโปรเซสเซอร์บางรุ่นตั้งแต่:

  • ตระกูลโปรเซสเซอร์ Intel® Core™ เจนเนอเรชั่น 1, 2, 3, 4, 5, 6, 7 และ 8
  • ตระกูลผลิตภัณฑ์โปรเซสเซอร์ Intel® Xeon® E3-1200 v5 และ v6
  • โปรเซสเซอร์ Intel® Xeon® ตระกูลที่ปรับขนาดได้
  • โปรเซสเซอร์ Intel® Xeon® W
  • ตระกูลโปรเซสเซอร์ Intel® Atom® C3000
  • โปรเซสเซอร์ Apollo Lake Intel® Atom® ซีรี่ส์ E3900
  • โปรเซสเซอร์ intel® Pentium® Apollo Lake
  • โปรเซสเซอร์ Intel® Pentium® ซีรี่ส์ G
  • โปรเซสเซอร์ Intel® Celeron® ซีรีส์ G, N และ J

หากต้องการดูว่าช่องโหว่ที่ระบุส่งผลต่อระบบของคุณหรือไม่ ให้ดาวน์โหลดและเรียกใช้งานเครื่องมือตรวจหาเวอร์ชั่นIntel CSMEโดยใช้ลิงก์ด้านล่าง

ส่วนคําถามที่พบบ่อย

แหล่งข้อมูลที่มีอยู่

แหล่งข้อมูลสําหรับผู้ใช้ Microsoft และ Linux*

แหล่งข้อมูลจากผู้ผลิตระบบ/มาเธอร์บอร์ด

หมาย เหตุลิงก์สําหรับผู้ผลิตระบบ/มาเธอร์บอร์ดจะมีการให้ไว้เมื่อมีให้ หากผู้ผลิตของคุณไม่อยู่ในรายการ ให้ติดต่อผู้ผลิตเพื่อขอข้อมูลเกี่ยวกับการอัปเดตซอฟต์แวร์ที่จําเป็น


คำ ถาม:

คําถาม: เครื่องมือตรวจหาเวอร์ชั่นของ Intel CSME รายงานว่าระบบของฉันมีช่องโหว่ ฉันควรทําอย่างไร
คําตอบ:
Intel ได้จัดเตรียมการอัปเดตซอฟต์แวร์และเฟิร์มแวร์ที่จําเป็นไว้ให้กับผู้ผลิตระบบและมาเธอร์บอร์ดเพื่อแก้ไขช่องโหว่ที่ระบุไว้ในคําแนะนําด้านความปลอดภัย Intel-SA-00086

ติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของคุณเกี่ยวกับแผนเพื่อช่วยให้ผู้ใช้เข้าถึงอัปเดตต่างๆ ได้

ผู้ผลิตบางรายให้ลิงก์ตรงไว้กับ Intel เพื่อให้ลูกค้าสามารถรับการอัปเดตซอฟต์แวร์ที่มีและข้อมูลเพิ่มเติมได้ (ดูรายการด้านล่าง)

คําถาม: ทําไมฉันถึงต้องติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของฉันด้วย ทําไม Intel ไม่สามารถให้การอัปเดตที่จําเป็นกับระบบของฉันได้
คําตอบ:
Intel ไม่สามารถจัดให้มีการอัปเดต ทั่วไป ได้ เนื่องจากการปรับใช้เฟิร์มแวร์กลไกจัดการที่ผู้ผลิตระบบและมาเธอร์บอร์ดทําไว้

คําถาม: เครื่องมือตรวจหาเวอร์ชั่นของ Intel CSME รายงานว่าระบบของฉัน อาจมีช่องโหว่ ฉันควรทําอย่างไร
คําตอบ:
มักพบสถานะ อาจมีช่องโหว่ เมื่อไม่ได้ติดตั้งไดรเวอร์ต่อไปนี้:

  • ไดรเวอร์ Intel® Management Engine Interface (Intel® MEI)
หรือ
  • ไดรเวอร์ Intel® Trusted Execution Engine Interface (Intel® TXEI)

ติดต่อผู้ผลิตระบบหรือมาเธอร์บอร์ดของคุณเพื่อขอรับไดรเวอร์ที่ถูกต้องสําหรับระบบของคุณ

คําถาม: ไม่ได้แสดงผู้ผลิตระบบหรือมาเธอร์บอร์ดของฉันในรายการของคุณ ฉันควรทําอย่างไร
คําตอบ:
รายการด้านล่างแสดงลิงก์จากผู้ผลิตระบบหรือมาเธอร์บอร์ดที่ได้ให้ข้อมูลไว้กับ Intel หากไม่ได้แสดงผู้ผลิตของคุณ ให้ติดต่อพวกเขาโดยใช้กลไกการสนับสนุนมาตรฐาน (เว็บไซต์ โทรศัพท์ อีเมล และอื่นๆ) เพื่อขอความช่วยเหลือ

คําถาม: ประเภทการเข้าใช้งานแบบใดที่ผู้โจมตีต้องการใช้ในการเจาะช่องโหว่ที่ระบุ
คําตอบ:
หากผู้ผลิตอุปกรณ์เปิดใช้งานการป้องกันการเขียน Flash Descriptor ที่ Intel แนะนํา ผู้โจมตีจะต้อง มีสิทธิ์การเข้าใช้งานทางกายภาพ ในเฟิร์มแวร์แฟลชของแพลตฟอร์มเพื่อเจาะช่องโหว่ที่ระบุไว้ใน:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

การสิ้นสุดการผลิต

ผู้โจมตีจะได้สิทธิ์การเข้าใช้งานทางกายภาพจากการอัปเดตแพลตฟอร์มด้วยตัวเองผ่านไฟล์อิมเมจของเฟิร์มแวร์ที่เป็นอันตรายผ่านตัวตั้งโปรแกรมแฟลชที่เชื่อมต่อทางกายภาพกับหน่วยความจําแฟลชของแพลตฟอร์ม การป้องกันการเขียน Flash Descriptor เป็นการตั้งค่าแพลตฟอร์มที่มักตั้งค่าไว้ตอน ท้ายของการผลิต การป้องกันการเขียน Flash Descriptor จะป้องกันไม่ให้มีการเปลี่ยนแปลงกับการตั้งค่าแฟลชที่เป็นอันตรายหรือโดยไม่ตั้งใจหลังจากที่ทําการผลิตเสร็จสิ้นแล้ว

หากผู้ผลิตอุปกรณ์ไม่ได้เปิดใช้งานการป้องกันการเขียน Flash Descriptor ที่ Intel แนะนํา ผู้โจมตีจะต้องมีสิทธิ์การเข้าใช้งานเคอร์เนลในระบบปฏิบัติการ (การเข้าถึงแบบลอจิคัล, Ring 0 ของระบบปฏิบัติการ) ผู้โจมตีต้องมีสิทธิ์การเข้าใช้งานนี้เพื่อเจาะช่องโหว่ที่ระบุโดยการใช้ไฟล์อิมเมจของเฟิร์มแวร์ที่เป็นอันตรายกับแพลตฟอร์มผ่านไดรเวอร์ของแพลตฟอร์มที่เป็นอันตราย

ช่องโหว่ที่ระบุใน CVE-2017-5712 สามารถเจาะจาก ระยะไกล ผ่านเครือข่ายที่มีข้อมูลประจําตัวIntel® Management Engineการดูแลระบบที่ถูกต้อง จะไม่สามารถเจาะช่องโหว่ได้หากไม่มีข้อมูลประจําตัวเพื่อการดูแลระบบที่ถูกต้อง

หากคุณต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อ ฝ่ายสนับสนุนลูกค้า Intel เพื่อส่งคําขอรับบริการแบบออนไลน์