Cập nhật chương trình cơ sở quan trọng Động cơ Quản lý Intel® (Intel-SA-00086)

Tài liệu

Xử lý sự cố

000025619

13/11/2023

Lỗ hổng Động cơ Quản lý Intel® (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) và Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

Lưu ý Bài viết này mô tả các vấn đề liên quan đến lỗ hổng bảo mật được tìm thấy trong Intel® Management Engine Firmware. Bài viết này không chứa thông tin liên quan đến lỗ hổng kênh bên bộ xử lý (được gọi là Meltdown/Spectre). Nếu bạn đang tìm kiếm thông tin về sự cố Meltdown/Spectre, hãy truy cập Sự kiện phân tích kênh bên và Sản phẩm Intel®.

Để đối phó với các vấn đề được các nhà nghiên cứu bên ngoài xác định, Intel đã thực hiện đánh giá bảo mật toàn diện chuyên sâu về các vấn đề sau với mục tiêu tăng cường khả năng phục hồi chương trình cơ sở:

  • Động cơ Quản lý Intel® (Intel® ME)
  • Intel® Trusted Execution Engine (Intel® TXE)
  • Intel® Server Platform Services (SPS)

Intel đã xác định các lỗ hổng bảo mật có khả năng ảnh hưởng đến một số PC, máy chủ và nền tảng IoT nhất định.

Các hệ thống sử dụng Intel ME Firmware phiên bản 6.x-11.x, máy chủ sử dụng SPS Firmware phiên bản 4.0 và các hệ thống sử dụng TXE phiên bản 3.0 đều bị ảnh hưởng. Bạn có thể tìm thấy các phiên bản chương trình cơ sở này trên một số bộ xử lý nhất định từ:

  • Dòng bộ xử lý Intel® Core™ thế hệ thứ 1, 2, 3, 4, 5, 6, 7 và 8
  • Dòng sản phẩm bộ xử lý Intel® Xeon® E3-1200 v5 và v6
  • Dòng bộ xử lý có khả năng mở rộng Intel® Xeon®
  • Bộ xử lý Intel® Xeon® W
  • Dòng bộ xử lý Intel Atom® C3000
  • Bộ xử lý Apollo Lake Intel Atom® dòng E3900
  • Apollo Lake Bộ xử lý Intel® Pentium®
  • Bộ xử lý Intel® Pentium® dòng G
  • Bộ xử lý Intel® dòng Celeron® G, N và J

Để xác định xem các lỗ hổng được xác định có ảnh hưởng đến hệ thống của bạn hay không, hãy tải xuống và chạy công cụ Phát hiện Phiên bản Intel CSME bằng các liên kết bên dưới.

Phần câu hỏi thường gặp

Tài nguyên có sẵn

Tài nguyên dành cho người dùng Microsoft và Linux*

Nguồn lực từ các nhà sản xuất hệ thống/bo mạch chủ

Lưu ý Liên kết với các nhà sản xuất hệ thống/bo mạch chủ khác sẽ được cung cấp khi có. Nếu nhà sản xuất của bạn không được liệt kê, hãy liên hệ với họ để biết thông tin về tính khả dụng của bản cập nhật phần mềm cần thiết.


Câu hỏi thường gặp:

Câu hỏi: Công cụ phát hiện phiên bản Intel CSME báo cáo rằng hệ thống của tôi dễ bị tấn công. Tôi phải làm gì?
Trả lời: Intel đã cung cấp cho các nhà sản xuất hệ thống và bo mạch chủ các bản cập nhật phần mềm và chương trình cơ sở cần thiết để giải quyết các lỗ hổng được xác định trong Tư vấn bảo mật Intel-SA-00086.

Liên hệ với nhà sản xuất hệ thống hoặc bo mạch chủ của bạn để biết về kế hoạch cung cấp các bản cập nhật cho người dùng cuối của họ.

Một số nhà sản xuất đã cung cấp cho Intel một liên kết trực tiếp cho khách hàng của họ để có thêm thông tin và các bản cập nhật phần mềm có sẵn (Tham khảo danh sách bên dưới).

H: Tại sao tôi cần liên hệ với nhà sản xuất hệ thống hoặc bo mạch chủ của mình? Tại sao Intel không thể cung cấp bản cập nhật cần thiết cho hệ thống của tôi?
Trả lời: Intel không thể cung cấp bản cập nhật chung do các tùy chỉnh vi chương trình của công cụ quản lý được thực hiện bởi các nhà sản xuất hệ thống và bo mạch chủ.

H: Hệ thống của tôi được báo cáo là có thể dễ bị tấn công bởi Intel CSME Version Detection Tool. Tôi phải làm gì?
A : Trạng thái có thể dễ bị tấn công thường thấy khi một trong các trình điều khiển sau chưa được cài đặt:

  • Trình điều khiển Giao diện Động cơ Quản lý Intel® (Intel® MEI)
Hoặc
  • Trình điều khiển Intel® Trusted Execution Engine Interface (Intel® TXEI)

Liên hệ với nhà sản xuất hệ thống hoặc bo mạch chủ của bạn để có được trình điều khiển chính xác cho hệ thống của bạn.

H: Nhà sản xuất hệ thống hoặc bo mạch chủ của tôi không có trong danh sách. Tôi phải làm gì?
Trả lời: Danh sách dưới đây hiển thị các liên kết từ các nhà sản xuất hệ thống hoặc bo mạch chủ đã cung cấp thông tin cho Intel. Nếu nhà sản xuất của bạn không hiển thị, hãy liên hệ với họ bằng các cơ chế hỗ trợ tiêu chuẩn của họ (trang web, điện thoại, email, v.v.) để được hỗ trợ.

Câu hỏi: Kẻ tấn công cần những loại truy cập nào để khai thác các lỗ hổng đã xác định?
Trả lời : Nếu nhà sản xuất thiết bị cho phép bảo vệ ghi Flash Descriptor được Intel khuyến nghị, kẻ tấn công cần quyền truy cập vật lý vào flash chương trình cơ sở của nền tảng để khai thác các lỗ hổng được xác định trong:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

Kết thúc sản xuất

Kẻ tấn công có được quyền truy cập vật lý bằng cách cập nhật nền tảng theo cách thủ công với hình ảnh chương trình cơ sở độc hại thông qua một lập trình viên flash được kết nối vật lý với bộ nhớ flash của nền tảng. Bảo vệ chống ghi Flash Descriptor là một thiết lập nền tảng thường được đặt ở cuối quá trình sản xuất. Bảo vệ chống ghi Flash Descriptor bảo vệ các cài đặt trên Flash khỏi bị thay đổi độc hại hoặc vô ý sau khi quá trình sản xuất hoàn tất.

Nếu nhà sản xuất thiết bị không kích hoạt bảo vệ ghi Flash Descriptor được Intel khuyến nghị, kẻ tấn công cần quyền truy cập nhân vận hành (truy cập logic, Vòng hệ điều hành 0). Kẻ tấn công cần quyền truy cập này để khai thác các lỗ hổng đã xác định bằng cách áp dụng hình ảnh chương trình cơ sở độc hại vào nền tảng thông qua trình điều khiển nền tảng độc hại.

Lỗ hổng được xác định trong CVE-2017-5712 có thể khai thác từ xa qua mạng kết hợp với thông tin Động cơ Quản lý Intel® quản trị hợp lệ. Lỗ hổng không thể khai thác được nếu không có thông tin quản trị hợp lệ.

Nếu bạn cần hỗ trợ thêm, hãy liên hệ với Intel Customer Support để gửi yêu cầu dịch vụ trực tuyến.