Intel® 管理引擎重大韌體更新 (Intel-SA-00086)

文件

疑難排解

000025619

2024 年 08 月 13 日

Intel® 管理引擎 (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x)、Intel® 受信任的執行引擎 (Intel® TXE 3.0) 和Intel® Server Platform Services (Intel® SPS 4.0) 漏洞 (Intel-SA-00086)

注意 本文介紹與Intel® Management Engine Firmware中發現的安全漏洞相關的問題。本文 不包含 與處理器端通道漏洞(稱為 Meltdown/Spectre)相關的資訊。如果您要尋找 Meltdown/Spectre 問題的相關信息,請前往 側通道分析事實 和 Intel® 產品

為因應外部研究人員識別的問題,Intel 已對下列事項進行了深入的全面安全性檢閱,目的是增強韌體復原能力:

  • Intel® 管理引擎 (Intel® ME)
  • Intel® 受信任的執行引擎 (Intel® TXE)
  • Intel® Server Platform Services(SPS)

Intel 已經找出可能影響某些計算機、伺服器和物聯網平臺的安全漏洞。

使用Intel ME固件版本 6.x-11.x 的系統、使用 SPS 固件版本 4.0 的伺服器以及使用 TXE 版本 3.0 的系統將受到影響。您可能會在特定的處理器上找到這些韌體版本:

  • 第 1 代、第 2 代、第 3 代、第 4 代、第 5 代、第 6 代、第 7 代和第 8 代Intel® Core™處理器家族
  • Intel® Xeon® 處理器 E3-1200 v5 和 v6 產品系列
  • Intel® Xeon®處理器可擴充系列產品
  • Intel® Xeon® W處理器
  • Intel Atom® C3000 處理器系列
  • Apollo Lake Intel Atom®處理器 E3900 系列
  • Apollo Lake Intel® Pentium® 處理器
  • Intel® Pentium® 處理器 G 系列
  • Intel® Celeron® G、N 和 J 系列處理器

要確定識別的漏洞是否影響您的系統,請使用以下鏈接下載並運行Intel CSME版本檢測工具。

常見問題部分

可用資源

適用於 Microsoft 與 Linux* 使用者的資源

來自系統/主機板製造商的資源

注意 如果有的話,將提供其他系統/主機板製造商的連結。如果未列出您的製造商,請與他們聯繫以獲取有關必要軟體更新可用性的資訊。


常見問題:

問:Intel CSME版本檢測工具報告我的系統容易受到攻擊。我該怎麼辦?
答:
Intel 已向系統和主機板製造商提供必要的韌體和軟體更新,以解決安全諮詢 Intel-SA-00086 中識別的漏洞。

請聯絡您的系統或主機板製造商,以得知他們有關向最終使用者提供更新的計劃。

有些製造商已提供 Intel 客戶的直接連結,以取得其他資訊與可用的軟體更新(請參閱下面的清單)。

問:為什麼我需要聯繫我的系統或主板製造商?為什麼 Intel 無法為我的系統提供必要的更新?
答:
由於系統和主機板製造商執行的管理引擎固件自定義,Intel 無法提供 一般 更新。

問:Intel CSME版本檢測工具報告我的系統 可能不堪一擊 。我該怎麼辦?
答:
如果未安裝以下任一驅動程式,通常會看到「 可能易受攻擊」 狀態:

  • Intel® 管理引擎介面 (Intel® MEI) 驅動程式
  • Intel® Trusted Execution Engine Interface (Intel® TXEI) 驅動程式

請聯絡您的系統或主機板製造商,以取得適用於您系統的正確驅動程式。

問:我的系統或主機板製造商未顯示在您的清單中。我該怎麼辦?
答:
以下清單顯示已向 Intel 提供資訊的系統或主機板製造商的連結。如果未顯示您的製造商,請使用他們的標準支援機制(網站、電話、電子郵件等)與他們聯繫以獲得説明。

問:攻擊者需要哪些類型的存取來利用已識別的弱點?
答:
如果設備製造商啟用了 Intel 推薦的快閃記憶體描述符寫入保護,攻擊者需要 物理訪問 平臺的韌體快閃記憶體,才能利用以下漏洞:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

製造結束

攻擊者透過實體連接平臺快閃程式設計工具,利用惡意的韌體影像手動更新平臺,取得實體存取權。快閃描述元寫入保護通常是 在製造端設定的平台設定。快閃描述元寫入保護可防止快閃記憶體上的設定在製造完成後遭惡意或無意變更。

如果設備製造商未啟用 Intel 推薦的快閃描述符寫入保護,攻擊者需要操作系統核心訪問許可權(邏輯訪問,操作系統環 0)。攻擊者需要此訪問許可權才能利用識別的漏洞,方法是通過惡意的平台驅動程式將惡意固件映像應用於平臺。

CVE-2017-5712 中識別的漏洞可通過網路與有效的管理Intel® 管理引擎憑據遠端利用。如果無法獲得有效的管理憑據,則無法利用此漏洞。

如果您需要進一步的協助,請聯絡 Intel Customer Support 提交在線服務請求。