Важное обновление встроенного ПО Intel® Management Engine (Intel-SA-00086)

Документация

Поиск и устранение неисправностей

000025619

16.08.2018

Уязвимость Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) и Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

Примечание В этой статье представлены проблемы, относящиеся к уязвимостям системы безопасности, обнаруженные во встроенном ПО Intel® Management Engine. Эта статья не содержит информацию, связанную с уязвимостью побочного канала процессора (известна как Meltdown/Spectre). Если вам нужна информация о проблеме Meltdown/Spectre, откройте темуФакты анализа побочных каналов и продукции Intel®.

В ответ на проблемы, идентифицированные сторонними исследователями, корпорация Intel выполнила всесторонний анализ безопасности для улучшения надежности встроенного ПО:

  • Intel® Management Engine
  • Механизм доверенного исполнения Intel®
  • Intel® Server Platform Services (SPS)

Корпорация Intel идентифицировала уязвимости для системы безопасности, которые могут потенциально повлиять на определенные ПК, серверы и платформы Интернета вещей.

Данной уязвимости подвержены системы, использующие встроенное ПО Intel ME 6.x-11.x, серверы, использующие встроенное ПО SPS версии 4.0, и системы, использующие TXE версии 3.0. Вы можете найти эти версии встроенного ПО у определенных процессоров:

  • семейства Intel® Core™ 1-го, 2-го, 3-го 4-го, 5-го, 6-го, 7-го и 8-го поколения
  • Семейства процессоров Intel® Xeon® E3-1200 v5 и v6
  • Семейство масштабируемых процессоров Intel® Xeon® Scalable
  • Процессор Intel® Xeon® W
  • Семейство процессоров Intel Atom® C3000
  • Процессоры Apollo Lake Intel Atom® серии E3900
  • Процессоры Apollo Lake Intel® Pentium®
  • Процессоры Intel® Pentium® серии G
  • Процессоры Intel® Celeron® серий G, N и J

Для определения воздействия идентифицированной уязвимости на вашу систему, загрузите и запустите средство обнаружения Intel-SA-00086 с помощью следующих ссылок.

Раздел часто задаваемых вопросов

Доступные ресурсы

Ресурсы для пользователей Microsoft и Linux*

Примечание Средства обнаружения INTEL-SA-00086 до версии 1.0.0.146 не проверяли уязвимости CVE-2017-5711 и CVE-2017-5712. Эти уязвимости влияют только на системы с технологией Intel® Active Management Technology (Intel® AMT) версий 8.x-10.x. Пользователям систем с Intel AMT версий 8.x-10.x рекомендуется установить версию 1.0.0.146 или более позднюю. Установка этой версии поможет проверить статус систем в соответствии с рекомендацией для безопасности INTEL-SA-00086. Вы можете проверить версию средства обнаружения INTEL-SA-00086, запустив его и прочитав информацию о версии в окне вывода.

Ресурсы от производителей систем/системных плат

Примечание Ссылки для других производителей систем/системных плат будут представлены, когда станут доступны. Если ваш производитель не указан в списке, обратитесь к нему за информацией о доступности необходимого обновления программного обеспечения.


Часто задаваемые вопросы:

В: Средство обнаружения, Intel-SA-00086, сообщает, что моя система уязвима. Что мне делать?
О:
Корпорация Intel предоставила производителям систем и системных плат необходимые обновления встроенного ПО и программного обеспечения для устранения уязвимостей, идентифицированных в рекомендации для безопасности Intel-SA-00086.

Обратитесь к производителю вашей системы или системной платы за информацией о планах в отношении обновлений, доступных для конечных пользователей.

Некоторые производители предоставили Intel прямые ссылки, созданные для их клиентов для получения дополнительной информации и загрузки доступных обновлений программного обеспечения (см. список далее).

В: Почему мне нужно обращаться к производителю моей системы или системной платы? Почему корпорация Intel не может предоставить необходимое обновление для моей системы?
О:
Корпорация Intel не может предоставить универсальное обновление из-за настроек встроенного ПО программы управления, которые выполнены производителями систем и системных плат.

В: Моя система сообщает о возможной уязвимости после использования средства обнаружения Intel-SA-00086. Что мне делать?
О:
Статус возможной уязвимости обычно отображается, когда не установлен любой из следующих драйверов:

  • Драйвер интерфейса Intel® Management Engine (Intel® MEI) 
или
  • Драйвер интерфейса Intel® Trusted Execution Engine Interface (Intel® TXEI)
Обратитесь к производителю вашей системы или системной платы для получения соответствующих драйверов.

В: Производителя моей системы или системной платы нет в вашем списке. Что мне делать?
О:
В следующем списке представлены ссылки, полученные от производителей систем или системных плат, которые предоставили нужную информацию в корпорацию Intel. Если производителя вашей системы нет в списке, обратитесь к нему за помощью, используя стандартный способ обращения за поддержкой (веб-сайт, телефон, эл. почта и т.д.).

В: Какие типы доступа могут применять атакующие для использования идентифицированных уязвимостей?
О:
Если производитель аппаратных средств воспользуется рекомендуемыми корпорацией Intel механизмами защиты от записи, атакующему потребуется получить физический доступ к флэш-памяти встроенного ПО платформы для использования уязвимостей, идентифицированных в следующих рекомендациях:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
Атакующий получает физический доступ, вручную обновляя платформу, устанавливая образ вредоносного встроенного ПО с с помощью флэш-программатора, физически подключенного к флэш-памяти платформы. Защита от записи флэш-описателя является настройкой платформы, выполняемой на финальном этапе производства. Защита от записи флэш-описателя обеспечивает защиту настроек флэш-памяти от преднамеренного или непреднамеренного изменения после производства.

Если производитель аппаратных средств не активирует рекомендуемые корпорацией Intel механизмы защиты от записи флэш-описателя, атакующему потребуется доступ к работающем ядру (логический доступ, кольцо 0 операционной системы). Атакующему необходим данный доступ для использования идентифицированных уязвимостей посредством установки на платформе вредоносного образа встроенного ПО с помощью вредоносного драйвера платформы.

Уязвимость, идентифицированная в документе CVE-2017-5712, может быть использована удаленно через сеть в сочетании с действительными административными учетными данными для Intel® Management Engine. Уязвимость не может быть применима, если действительные административные учетные данные недоступны.

Если вам необходима дополнительная помощь, обратитесь в службу поддержки Intel для оформления онлайновой заявки на обслуживание.