新闻快讯
< >

数百万PC和服务器受Intel管理引擎漏洞影响

这些bug可被用于提取信息,甚至可实现rootkit注入。

E安全11月22日讯 英特尔公司承认,根据外部安全专家的发现,其管理引擎(简称ME)、服务器平台服务(简称SPS)以及可信执行引擎(简称TXE)易受到多项高危安全漏洞的影响。

哪些处理器芯片组受影响?

这些固件级别的bug允许登录管理员以及恶意或劫持性高权限进程运行操作系统下的代码,从而在完全不被其他用户及管理员察觉的前提下实施窥探或者干涉。网络管理员或者其他伪装为管理员的人士亦可利用这些漏洞以远程方式对设备进行间谍软件感染或者注入rootkit。

英特尔公司发现多款台式机与服务器芯片组之秘密管理引擎内存在高危漏洞-E安全

与此同时,已登录用户、恶意或被感染应用程序亦可利用这些安全漏洞从计算机内存当中提取机密及受保护信息,从而为恶意攻击者提供敏感数据——包括密码或者密码密钥,从而屏蔽更多其它攻击活动。这一消息对于服务器以及其它共享型设备尤其令人担忧。
简而言之,目前正有大量英特尔芯片秘密运行恶意代码,并被攻击者及恶意软件用于悄悄危害计算机用户。受此安全缺陷影响的处理器芯片组具体包括:

  • 第六、第七与第八代英特尔酷睿处理器

  • 英特尔至强E3-1200 v5与v6处理器

  • 英特尔至强Scalable处理器

  • 英特尔至强W处理器

  • 英特尔凌动C3000处理器

  • Apollo Lake英特尔凌动E3900系列

  • Apollo Lake英特尔奔腾处理器

  • 赛扬N与J系列处理器

英特尔管理引擎的组件出问题

作为本次新闻的核心,英特尔公司的管理引擎可以算是您计算机设备中的另一套计算机。芯片巨头在其vPro功能套件的核心部分提供大量恶意协处理器,且其广泛存在于各类芯片系列当中。在媒体将其抨击为“后门”之后,英特尔方面强烈抵制这样的表述,英国Positive Technologies公司将在下个月正式公布此管理引擎的全新利用方法。

管理引擎基本上就是一套不进行记录的黑匣子。其拥有自己的CPU与操作系统(例如:最新一代配置为x86 Quark核心加MINIX),并对设备进行全面控制,能够在已安装的操作系统以及任何管理程序或反病毒工具的监控之外肆意运行。

其设计目标在于帮助网络管理员以远程或本地方式登录至服务器或工作站当中,从而修复任何错误、重新安装操作系统、接管桌面控制权等等。此项功能非常强大,黑客甚至能够利用其控制无法正常启动的目标计算机。

管理引擎运行闭源远程管理软件以执行上述操作,而且该代码中所包含的bug则与任何其它软件漏洞一样,将允许黑客获得令人难以置信的设备控制能力。该管理引擎可能被用于安装rootkit以及其它形式的间谍软件,顺利躲过用户的追查、窃取信息甚至篡改文件。

服务器平台服务基于管理引擎,允许用户以远程方式通过网络对采用英特尔芯片的服务器进行配置。可信执行引擎为英特尔公司的硬件真实性技术。在此之前,同样运行在管理引擎上的AMT工具套件即可利用空白凭证字符串绕过验证。

英特尔方面已审核内部源代码

今天,英特尔方面还公布了更多固件问题。该公司透露称,其已经对内部源代码进行了审核,并“已经确定了一些可能令受影响平台面临风险的安全漏洞”。

针对外部研究人员发现的问题,英特尔已经对自身英特尔管理引擎(简称ME)、英特尔服务器平台服务(简称SPS)以及英特尔可信执行引擎(简称TXE)进行了深入而全面的安全审查。

非高危漏洞值得关注

根据英特尔方面的介绍,这些漏泄可能允许攻击者冒充管理引擎、服务器平台服务或者可信执行引擎机制,从而令本地安全功能失效。在这种情况下,“任意代码的加载与执行都将无法被用户以及操作系统所发现”;这可能令受影响系统陷入崩溃。

但这些漏洞的严重程度并不是特别高,这主要是由于其中大部分要求攻击者拥有本地访问能力(无论是作为管理员抑或较低权限用户),而其余漏洞则要求攻击者作为经过身份验证的系统管理员以访问这些管理功能。

不过根据谷歌公司安全研究员Matthew Garrett(马修·加勒特)所言,之前提到的AMT漏泄如果未经修复,则允许以远程方式利用。

英特尔公司发现多款台式机与服务器芯片组之秘密管理引擎内存在高危漏洞-E安全

换言之,如果某一尚未对AMT漏洞进行修复的服务器或者其它系统遭遇攻击,那么此次发现的新漏洞将允许任何外部人士通过网络进行登录,同时在管理引擎协处理器的帮助下执行恶意代码。

Garrett在推文中解释称,“管理引擎安全漏洞能够提供等同于AMT漏洞的一切,而且远不止于此。如果有人突破了管理引擎的内核,即可访问管理引擎上的一切,其中也包括AMT乃至PTT。”他解释称,“PTT是英特尔的‘在管理引擎软件中运行TPM’功能。如果用户使用PTT,而攻击者入侵了您的管理引擎,那么TPM将不再安全可靠。 这可能意味着用户的Bitlocker密钥遭到破解,同时也意味着您的远程认证证书也全部作废。”

Garrett指出,如果利用这些漏洞通过管理引擎安装并解释未经签名的数据,则攻击者将能够在每一次管理引擎重启后再次触发恶意软件并实现感染。一旦发生这种情况,解决问题的惟一方法只有手动刷新硬件,而真到了这一步,直接购买新硬件反而可能更具成本优势。

受影响的固件及相关漏洞

英特尔公司指出,采用管理引擎固件版本11.0、11.5、11.6、11.7、11.10以及11.20,服务器平台服务固件版本4.0以及可信执行引擎版本3.0的系统会受到影响。

相关漏洞CVE编号如下:

英特尔管理引擎固件 11.0.x.x/11.5.x.x/11.6.x.x/11.7.x.x/11.10.x.x/11.20.x.x

CVE-2017-5705:“英特尔管理引擎固件11.0/11.5/11.6/11.7/11.10/11.20版本内存在的多项缓冲区溢出漏洞允许攻击者以本地系统访问方式执行任意代码。”已登陆的超级用户或高权限程序可在隐藏的管理引擎之内执行代码,且整个执行流程较操作系统及任何其它软件更为底层。

CVE-2017-5708:“英特尔管理引擎固件11.0/11.5/11.6/11.7/11.10/11.20版本内核中的多项权限升级机制允许未授权进程通过未指定向量访问高权限内容。”已登录用户或运行中的应用可能泄漏内存中的机密信息。这一情况对共享系统而言尤为危险。

CVE-2017-5711:“英特尔管理引擎固件8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20版本中的主动管理技术(简称AMT)存在多项缓冲区溢出漏洞,允许攻击者以远程方式访问系统以利用AMT执行权限执行任意代码。”已登录超级用户或高权限程序,将可在AMT套件之内执行代码,且整个执行流程较操作系统及任何其它软件更为底层。

CVE-2017-5712:“英特尔管理引擎固件8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20版本当中主动管理技术(简称AMT)存在一项缓冲区溢出漏洞,允许攻击者利用远程管理员身份访问系统,从而利用AMT执行权限执行任意代码。”具备目标设备网络访问和能力、以及能够作为管理员进行登录的人士将能够在AMT套件内执行代码。

英特尔管理引擎固件8.x/9.x/10.x

CVE-2017-5711:“英特尔管理引擎固件8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20版本中的主动管理技术(简称AMT)存在多项缓冲区溢出漏洞,允许攻击者以本地方式访问系统以利用AMT执行权限执行任意代码。” 已登录超级用户或高权限程序,将可在AMT套件之内执行代码,且整个执行流程较操作系统及任何其它软件更为底层。

CVE-2017-5712:“英特尔管理引擎固件8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20版本当中主动管理技术(简称AMT)存在一项缓冲区溢出漏洞,允许攻击者利用远程管理员身份访问系统,从而利用AMT执行权限执行任意代码。”具备目标设备网络访问和能力、以及能够作为管理员进行登录的人士将能够在AMT套件内执行代码。

服务器平台服务 4.0.x.x

CVE-2017-5706:“英特尔服务器平台服务固件4.0版本内核当中存在多项缓冲区溢出漏洞,允许攻击者以本地方式访问系统并执行任意代码。” 已登录超级用户或高权限程序,将可在AMT套件之内执行代码,且整个执行流程较操作系统及任何其它软件更为底层。

CVE-2017-5709:“英特尔服务器平台服务固件4.0版本内核当中存在多项缓冲区溢出漏洞,允许未授权进程通过未知向量访问机密信息。”已登录用户或运行中的应用可能泄漏内存中的机密信息。这一情况对共享系统而言尤为危险。

英特尔可信执行引擎3.0.x.x

CVE-2017-5707:“英特尔可信执行引擎固件3.0版本内核当中存在多项缓冲区溢出漏洞,允许攻击者以本地方式访问系统并执行任意代码。” 已登录超级用户或高权限程序,将可在隐藏管理引擎之内执行代码,且整个执行流程较操作系统及任何其它软件更为底层。

CVE-2017-5710:“英特尔可信执行引擎固件3.0版本内核当中存在多项权限升级漏洞,允许未授权进程通过未知向量访问机密内容。”已登录用户或运行中的应用可能泄漏内存中的机密信息。这一情况对共享系统而言尤为危险。

芯片巨头感激Mark Ermolov(马克·厄莫罗夫)与Maxim Goryachy(马克西姆·格拉奇)积极发现并通报CVE-2017-5705安全漏洞,这亦成为进行上述漏洞源代码审查的契机。

相关修复建议

今天的消息无疑迫使英特尔考虑未来不再推出包含管理引擎的组件,或者提供一种能够将其完全禁用的方法——这样人们即可放心使用自己的计算机,而不必担忧神秘的协处理器中所存在的安全漏洞。

英特尔公司建议微软及Linux用户下载并运行Intel-SA-00086检测工具,以确保其系统是否易受到上述错误的影响。

如果您身处危险当中,则必须从计算机制造商处获取并安装固件更新(如果可用)。新代码由英特尔方面负责开发,但需要配合各硬件供应商的加密签名方可被引擎接受及安装。

研究人员表示,苹果x86设备应该不会受到影响,因为其芯片中并不包含英特尔管理引擎。

英特尔公司发现多款台式机与服务器芯片组之秘密管理引擎内存在高危漏洞-E安全

Lenovo官方补丁

联想公司的行动速度最快,目前已经准备好自己的下载补丁。

Lenovo补丁链接:

https://pcsupport.lenovo.com/us/zh/products/laptops-and-netbooks/thinkpad-x-series-laptops/thinkpad-x1-carbon-type-20fb-20fc/downloads/ds112240

其他OEM暂未提供补丁,请联系对应OEM获取。

临时缓解措施

保护本地用户访问权限不被他人获取。

升级建议

升级到OEM提供的漏洞修复的版本。

相关阅读:

安全专家发现禁用英特尔管理引擎(Intel ME)的方法
西门子38个系列PC产品受英特尔芯片漏洞影响
英特尔与以色列Team8合作,解决最大的网络安全问题
全球首例利用英特尔AMTSOL接口窃取敏感数据的攻击手段
研究人员利用JavaScript破解英特尔等22款CPU的ASLR保护

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。