一個高危漏洞存在于英特爾晶片近十年,并且早在幾年前,就有機構提醒過該漏洞的存在,然而英特爾近日才公布,這究竟是什麼原因導緻?恐怕隻有他們自己知道。
5月1日,英特爾(intel)公司公布了一個嚴重高危(critical)級别安全漏洞,攻擊者可以利用該漏洞進行 英特爾産品系統的遠端控制提權。漏洞影響所有英特爾企業版伺服器和綜合利用技術,涉及版本号為 6.x、7.x、8.x、9.x、10.x、11.5、以及 11.6 系列的所有固件産品。這意味着英特爾近十年來的固件晶片都會受到影響!
據雷鋒網了解,該漏洞主要存在英特爾管理引擎(me )的主動管理(amt)、伺服器管理元件(ism)、以及英特爾小企業技術(sbt)中,普通個人電腦 pc 由于沒有相應子產品,是以不會被遠端控制提權。
英特爾釋出公告後,國外科技曝料網站 semiaccurate 釋出文章表示:
我們近年來一直懇求英特爾公司盡快修複該漏洞,然而他們現在才後知後覺。
semiaccurate 聲稱自己 5 年前就開始向英特爾公司提這個漏洞,英特爾公司10年來對該漏洞不屑一顧,選擇現在進行公布修複,可能是的确受到一些重大影響而不得不承認的舉措。
semiaccurate 指出了漏洞的原因:
intel 晶片中有一個獨立于 cpu 和作業系統的微處理器,叫做英特爾管理引擎 intel management engine,簡稱 me。多種技術都基于me,包括代碼處理、媒體drm、可信平台子產品tpm等。
me 是一個有别于 cpu 的獨立系統,它可以在不受 cpu 管控下通過搭配 amt (英特爾主動管理技術)等技術用來遠端管理企業計算機。
據雷鋒網(公衆号:雷鋒網)了解,amt 技術允許 it 技術員遠端管理和修複聯網的計算機系統,它能夠自動執行一個獨立于作業系統的子系統,使得在作業系統出現故障的時候,管理者能夠在遠端監視和管理用戶端、進行遠端管理和系統檢測、軟硬體檢查、遠端更新 bios 和病毒碼及作業系統,甚至在系統關機的時候,也可以通過網絡對伺服器進行管理操作。
semiaccurate 在其文章中特别強調了一點,暗示英特爾在晶片中故意留有後門:
盡管英特爾對 me 有着很多官方說明,但 me 技術架構一直是英特爾不願談及的話題,因為沒人真正知曉該技術的真正目的,以及是否可以做到完全禁用等。
而英特爾發言人則表示,該漏洞編号為 cve-2017-5689,于3月底由安全研究者 maksim malyutin發現并送出。目前,固件更新更新檔正在開發中,後期更新檔的推送和配置設定必須由制造商加密簽名和其它配合。希望與裝置制造商積極合作,在接下來幾周能盡快向終端使用者提供固件更新更新檔。英特爾方面目前并未發現利用該漏洞的攻擊案例。
也有人指出,之是以英特爾忽略 semiaccurate 的漏洞預警,很可能是因為 semiaccurate 隻是向英特爾強調 me 這個架構存在“漏洞風險”,沒能指出或者證明這個漏洞的存在。而直到今年3月底安全研究者 maksim 送出了該漏洞,英特爾便在一個月左右公布并提出了相應解決方案。
英特爾給出了相應的應對方案,指出要修複這個漏洞必須讓裝置廠商更新固件,當然使用者也可以先通過一些緩解措施進行快捷處理。比如對企業級伺服器下的晶片固件進行更新,需要更新的版本如下所示:
第一代core family: 6.2.61.3535 第二代 core family: 7.1.91.3272 第三代core family: 8.1.71.3608 第四代core family: 9.1.41.3024 and 9.5.61.3012 第五代core family: 10.0.55.3000 第六代core family: 11.0.25.3001 第七代core family: 11.6.27.3264
除了對固件進行更新,英特爾也給出了系列處置建議:
①:檢測你的系統中是否配置有 intel amt、sba或 ism 技術架構; ②:如果系統中配置有intel amt、sba或ism技術架構,檢測你的系統固件是否受到影響; ③:及時與系統oem廠商對更新固件進行核實,更新固件一般為四部分數位的版本号,如x.x.xx.3xxx; ④:如果 oem 廠商還未釋出更新固件,請及時對系統進行緩解操作。