具體來(lái)說(shuō),這個(gè)漏洞存在于英特爾的主動(dòng)管理技術(shù)(AMT)、標(biāo)準(zhǔn)可管理性(ISM)和小企業(yè)技術(shù)(SBT)固件版本6至11.6中。據(jù)這家芯片廠商聲稱,這個(gè)安全漏洞讓“無(wú)特權(quán)的攻擊者得以控制這些產(chǎn)品提供的可管理性功能。”
那就意味著,黑客有可能登錄進(jìn)入到高危計(jì)算機(jī)的硬件(該硬件就在操作系統(tǒng)的眼皮底下),利用AMT的功能,悄悄地對(duì)機(jī)器做手腳,安裝幾乎無(wú)法被察覺(jué)的惡意軟件,以及搞其他破壞。由于AMT可以直接訪問(wèn)計(jì)算機(jī)的網(wǎng)絡(luò)硬件,這種破壞有可能出現(xiàn)在網(wǎng)絡(luò)上。
近十年來(lái),這些不安全的管理功能存在于眾多(但并非所有)的英特爾芯片組中,從2008年的Nehalem酷睿i7開始,一直到今年推出的Kaby Lake酷睿芯片。要命的是,這個(gè)安全漏洞就處在機(jī)器的硅片的核心位置,而操作系統(tǒng)、應(yīng)用程序和任何反病毒軟件卻看不到它。
只有固件層面的更新,才有可能完全解決這個(gè)編程缺陷,該缺陷存在于數(shù)以百萬(wàn)計(jì)的芯片中。它實(shí)際上就是潛入全球大批計(jì)算機(jī)的一道后門。
易受攻擊的AMT服務(wù)是英特爾的vPro處理器功能系列中的一部分。如果某個(gè)系統(tǒng)上有vPro,啟用了它,而且AMT已經(jīng)配置,網(wǎng)絡(luò)上未驗(yàn)證身份的不法分子就能訪問(wèn)這臺(tái)系統(tǒng)的AMT控制機(jī)制,并加以劫持。如果AMT未經(jīng)配置,已登錄的用戶仍有可能鉆這個(gè)安全漏洞的空子,獲得管理員級(jí)別權(quán)限。如果你的系統(tǒng)根本沒(méi)有vPro或AMT,那么一點(diǎn)都不用擔(dān)心。
英特爾認(rèn)為,這個(gè)安全漏洞影響企業(yè)系統(tǒng)和服務(wù)器系統(tǒng),因?yàn)樗鼈兺衯Pro和AMT,并已啟用,但不影響針對(duì)普通人群的系統(tǒng),因?yàn)檫@類系統(tǒng)通常沒(méi)有vPro和AMT。你可以查看該文檔(https://downloadcenter.intel.com/download/26755),看看自己的系統(tǒng)是否易受攻擊,你應(yīng)該查看一下。
基本上來(lái)說(shuō),如果你使用的機(jī)器啟用了vPro和AMT,你就面臨危險(xiǎn)。
據(jù)英特爾今天聲稱,這個(gè)嚴(yán)重的安全漏洞名為CVE-2017-5689,早在3月份由Embedi的馬克西姆·馬爾尤廷(Maksim Malyutin)報(bào)告。想獲得堵住漏洞的補(bǔ)丁,你要向計(jì)算機(jī)廠商索取固件更新版,或者試試這里的應(yīng)對(duì)措施(https://downloadcenter.intel.com/download/26754)。這些更新版有望在今后幾周內(nèi)發(fā)布,應(yīng)該盡快安裝。英特爾公司發(fā)言人告訴英國(guó)IT網(wǎng)站The Register:“2017年3月,一名安全研究人員發(fā)現(xiàn)了使用英特爾主動(dòng)管理技術(shù)(AMT)、英特爾標(biāo)準(zhǔn)可管理性(ISM)或英特爾小公司技術(shù)(SBT)的商務(wù)PC和設(shè)備中存在一處嚴(yán)重的固件安全漏洞,并報(bào)告了英特爾。”
“消費(fèi)級(jí)PC并沒(méi)有受到該安全漏洞的影響。我們沒(méi)聽說(shuō)有人鉆該安全漏洞空子搞破壞的案例。我們已實(shí)施并驗(yàn)證了固件更新版,以解決這個(gè)問(wèn)題;我們正在與多家設(shè)備生產(chǎn)商合作,盡快提供給最終用戶。”
英特爾的具體聲明
無(wú)特權(quán)的網(wǎng)絡(luò)攻擊者有可能獲得下列經(jīng)配置的英特爾可管理性SKU的系統(tǒng)權(quán)限:英特爾主動(dòng)管理技術(shù)(AMT)和英特爾標(biāo)準(zhǔn)可管理性(ISM)。
無(wú)特權(quán)的本地攻擊者有可能配置可管理性功能,從而對(duì)下列英特爾可管理性SKU獲得無(wú)特權(quán)的網(wǎng)絡(luò)或本地系統(tǒng)權(quán)限:英特爾主動(dòng)管理技術(shù)(AMT)、英特爾標(biāo)準(zhǔn)可管理性(ISM)和英特爾小企業(yè)技術(shù)(SBT)。
很顯然,英特爾的小企業(yè)技術(shù)并不易受通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)的權(quán)限提升的影響。視受到影響的處理器系列而定,無(wú)論你使用的是AMT、ISM還是SBT,要留意的已打補(bǔ)丁的固件版本如下:
- 第一代酷睿系列:6.2.61.3535
- 第二代酷睿系列:7.1.91.3272
- 第三代酷睿系列:8.1.71.3608
- 第四代酷睿系列:9.1.41.3024和9.5.61.3012
- 第五代酷睿系列:10.0.55.3000
- 第六代酷睿系列:11.0.25.3001
- 第七代酷睿系列:11.6.27.3264
半導(dǎo)體行業(yè)記者查利·德梅爾吉安(Charlie Demerjian)在今天早些時(shí)候解釋:“簡(jiǎn)而言之,從2008年的Nehalem直到2017年的Kaby Lake,搭載AMT、ISM和SBT的每個(gè)英特爾平臺(tái)都存在可以被人遠(yuǎn)程攻擊的安全漏洞。”
“即使你的機(jī)器沒(méi)有配置AMT、ISM或SBT,仍有可能易受攻擊,而不是僅僅通過(guò)網(wǎng)絡(luò)被黑。”
德梅爾吉安還指出,現(xiàn)在計(jì)算機(jī)廠商有義務(wù)發(fā)布數(shù)字簽名的固件補(bǔ)丁,供用戶和IT管理員安裝。那意味著,如果你的硬件供應(yīng)商是戴爾、惠普或聯(lián)想之類的大牌廠商,有望立馬獲得補(bǔ)丁。如果是藉藉無(wú)名的白盒系統(tǒng)經(jīng)銷商,那你可能沒(méi)轍:在這個(gè)微利潤(rùn)行業(yè),發(fā)布安全、加密和固件之類的技術(shù)或服務(wù)是非常困難的工作。換句話說(shuō),你可能根本得不到所需的補(bǔ)丁。
AMT是什么東東?
AMT是一種帶外管理工具,可通過(guò)網(wǎng)絡(luò)端口16992來(lái)使用,以便訪問(wèn)機(jī)器的有線以太網(wǎng)接口:它將全面控制系統(tǒng)的功能暴露在網(wǎng)絡(luò)面前,讓IT人員及其他系統(tǒng)管理員可以遠(yuǎn)程重啟、修復(fù)及調(diào)整服務(wù)器和工作站。它能提供虛擬串行控制臺(tái);如果安裝了合適的驅(qū)動(dòng)程序,還能提供遠(yuǎn)程桌面訪問(wèn)功能。如果這項(xiàng)服務(wù)暴露在公開互聯(lián)網(wǎng)面前,那你就危險(xiǎn)了。在授予訪問(wèn)權(quán)限之前,理應(yīng)需要管理員使用密碼來(lái)驗(yàn)證身份,但是上述安全漏洞意味著,有人在身份未經(jīng)驗(yàn)證的情況下,就可以隨意進(jìn)入到硬件的控制面板。即使你使用了防火墻,防止外界訪問(wèn)系統(tǒng)的AMT,但是一旦有人或惡意軟件進(jìn)入到你的網(wǎng)絡(luò)(比如說(shuō)前臺(tái)的PC),就有可能鉆這個(gè)最新安全漏洞的空子,潛入到AMT管理的工作站或服務(wù)器的內(nèi)部深處,對(duì)貴公司造成進(jìn)一步的危害。
AMT是一種在英特爾的管理引擎(ME)上運(yùn)行的軟件,十多年來(lái)(自酷睿2在2006年面市以來(lái)),這種技術(shù)就以某種方式嵌入到芯片組中。它在操作系統(tǒng)內(nèi)核下面的所謂ring -2的部件這個(gè)層面運(yùn)行,在系統(tǒng)上任何虛擬機(jī)管理程序的下面。它基本上就是你計(jì)算機(jī)中的第二個(gè)計(jì)算機(jī),可以全面訪問(wèn)網(wǎng)絡(luò)、外設(shè)、內(nèi)存、存儲(chǔ)資源和處理器。有意思的是,該引擎由ARC CPU核心來(lái)驅(qū)動(dòng),而這種核心是16位或32位混合架構(gòu),稱得上是用于《星際火狐》等超級(jí)任天堂游戲的Super FX芯片的“近親”。沒(méi)錯(cuò),為《星際火狐》和《Stunt Race FX》處理3D運(yùn)算的這款定制芯片是悄然控制英特爾x86芯片的ARC微處理器的前身。
英特爾的ME方面的細(xì)節(jié)在過(guò)去幾年已逐漸公開:比如說(shuō),伊戈?duì)?middot;斯科欽斯基(Igor Skochinsky)在2014年對(duì)它作了一番深入的介紹( https://www.slideshare.net/codeblue_jp/igor-skochinsky-enpub )。ARC核心運(yùn)行來(lái)自SPI閃存的ThreadX RTOS。它可以直接訪問(wèn)以太網(wǎng)控制器。這年頭,它內(nèi)置到了平臺(tái)控制器中心(Platform Controller Hub),英特爾的這種微芯片含有眾多硬件控制器,連接到主板上的主處理器。
主板上的主處理器
ME是個(gè)黑盒子,英特爾不想透露太多的信息,不過(guò)該芯片廠商的官方網(wǎng)站上有部分的文檔介紹。它讓關(guān)注隱私和安全的人為之抓狂:沒(méi)人完全知道它其實(shí)做什么;沒(méi)人知道能否真正禁用它,因?yàn)樗そ?jì)算機(jī)中的裸機(jī)部件運(yùn)行。
在一些英特爾芯片系列上,你可以有所選擇地擦除主板閃存的某些部分,徹底終結(jié)ME。
這些年來(lái),工程師和信息安全人員一直在警告:由于所有代碼都有缺陷,英特爾的AMT軟件中肯定存在至少一處可被人遠(yuǎn)程鉆空子的編程缺陷,而ME運(yùn)行AMT,因而肯定有一種方法可以完全不用它:購(gòu)買根本就沒(méi)有AMT的芯片組,而不是僅僅由硬件保險(xiǎn)絲來(lái)禁用或斷開。
找到這樣的漏洞就好比在微軟Windows或Red Hat Enterprise Linux中,找到一個(gè)硬連線、無(wú)法移動(dòng)、可遠(yuǎn)程訪問(wèn)的管理員帳戶,該帳戶使用用戶名和密碼“hackme”。只不過(guò)這個(gè)英特爾漏洞是在芯片組中,普通用戶接觸不到,現(xiàn)在我們等計(jì)算機(jī)廠商提供補(bǔ)丁。
Linux內(nèi)核專家馬修·加勒特(Matthew Garrett)認(rèn)為這是一個(gè)很嚴(yán)重的問(wèn)題。他在這里( http://mjg59.dreamwidth.org/48429.html )發(fā)布了關(guān)于該安全漏洞的一些更詳細(xì)的技術(shù)信息。
“修復(fù)這個(gè)漏洞需要更新系統(tǒng)固件,以便提供新的ME固件,包括一套經(jīng)過(guò)更新的AMT代碼。許多受影響的機(jī)器不再收到來(lái)自相應(yīng)廠商的固件更新,可能根本得不到補(bǔ)丁。”
“在其中這樣一種設(shè)備上啟用AMT的人都岌岌可危。這忽視了固件更新版很少被標(biāo)為安全方面很關(guān)鍵(它們通常并不通過(guò)Windows更新來(lái)獲得)這個(gè)事實(shí),所以就算有了更新版,用戶也可能通常不了解或不安裝它們。”
| 
