具體來說,這個漏洞存在于英特爾的主動管理技術(AMT)、標準可管理性(ISM)和小企業技術(SBT)固件版本6至11.6中。據這家芯片廠商聲稱,這個安全漏洞讓“無特權的攻擊者得以控制這些產品提供的可管理性功能。”
那就意味著,黑客有可能登錄進入到高危計算機的硬件(該硬件就在操作系統的眼皮底下),利用AMT的功能,悄悄地對機器做手腳,安裝幾乎無法被察覺的惡意軟件,以及搞其他破壞。由于AMT可以直接訪問計算機的網絡硬件,這種破壞有可能出現在網絡上。
近十年來,這些不安全的管理功能存在于眾多(但并非所有)的英特爾芯片組中,從2008年的Nehalem酷睿i7開始,一直到今年推出的Kaby Lake酷睿芯片。要命的是,這個安全漏洞就處在機器的硅片的核心位置,而操作系統、應用程序和任何反病毒軟件卻看不到它。
只有固件層面的更新,才有可能完全解決這個編程缺陷,該缺陷存在于數以百萬計的芯片中。它實際上就是潛入全球大批計算機的一道后門。
易受攻擊的AMT服務是英特爾的vPro處理器功能系列中的一部分。如果某個系統上有vPro,啟用了它,而且AMT已經配置,網絡上未驗證身份的不法分子就能訪問這臺系統的AMT控制機制,并加以劫持。如果AMT未經配置,已登錄的用戶仍有可能鉆這個安全漏洞的空子,獲得管理員級別權限。如果你的系統根本沒有vPro或AMT,那么一點都不用擔心。
英特爾認為,這個安全漏洞影響企業系統和服務器系統,因為它們往往有vPro和AMT,并已啟用,但不影響針對普通人群的系統,因為這類系統通常沒有vPro和AMT。你可以查看該文檔(https://downloadcenter.intel.com/download/26755),看看自己的系統是否易受攻擊,你應該查看一下。
基本上來說,如果你使用的機器啟用了vPro和AMT,你就面臨危險。
據英特爾今天聲稱,這個嚴重的安全漏洞名為CVE-2017-5689,早在3月份由Embedi的馬克西姆·馬爾尤廷(Maksim Malyutin)報告。想獲得堵住漏洞的補丁,你要向計算機廠商索取固件更新版,或者試試這里的應對措施(https://downloadcenter.intel.com/download/26754)。這些更新版有望在今后幾周內發布,應該盡快安裝。英特爾公司發言人告訴英國IT網站The Register:“2017年3月,一名安全研究人員發現了使用英特爾主動管理技術(AMT)、英特爾標準可管理性(ISM)或英特爾小公司技術(SBT)的商務PC和設備中存在一處嚴重的固件安全漏洞,并報告了英特爾。”
“消費級PC并沒有受到該安全漏洞的影響。我們沒聽說有人鉆該安全漏洞空子搞破壞的案例。我們已實施并驗證了固件更新版,以解決這個問題;我們正在與多家設備生產商合作,盡快提供給最終用戶。”
英特爾的具體聲明
無特權的網絡攻擊者有可能獲得下列經配置的英特爾可管理性SKU的系統權限:英特爾主動管理技術(AMT)和英特爾標準可管理性(ISM)。
無特權的本地攻擊者有可能配置可管理性功能,從而對下列英特爾可管理性SKU獲得無特權的網絡或本地系統權限:英特爾主動管理技術(AMT)、英特爾標準可管理性(ISM)和英特爾小企業技術(SBT)。
很顯然,英特爾的小企業技術并不易受通過網絡實現的權限提升的影響。視受到影響的處理器系列而定,無論你使用的是AMT、ISM還是SBT,要留意的已打補丁的固件版本如下:
- 第一代酷睿系列:6.2.61.3535
- 第二代酷睿系列:7.1.91.3272
- 第三代酷睿系列:8.1.71.3608
- 第四代酷睿系列:9.1.41.3024和9.5.61.3012
- 第五代酷睿系列:10.0.55.3000
- 第六代酷睿系列:11.0.25.3001
- 第七代酷睿系列:11.6.27.3264
半導體行業記者查利·德梅爾吉安(Charlie Demerjian)在今天早些時候解釋:“簡而言之,從2008年的Nehalem直到2017年的Kaby Lake,搭載AMT、ISM和SBT的每個英特爾平臺都存在可以被人遠程攻擊的安全漏洞。”
“即使你的機器沒有配置AMT、ISM或SBT,仍有可能易受攻擊,而不是僅僅通過網絡被黑。”
德梅爾吉安還指出,現在計算機廠商有義務發布數字簽名的固件補丁,供用戶和IT管理員安裝。那意味著,如果你的硬件供應商是戴爾、惠普或聯想之類的大牌廠商,有望立馬獲得補丁。如果是藉藉無名的白盒系統經銷商,那你可能沒轍:在這個微利潤行業,發布安全、加密和固件之類的技術或服務是非常困難的工作。換句話說,你可能根本得不到所需的補丁。
AMT是什么東東?
AMT是一種帶外管理工具,可通過網絡端口16992來使用,以便訪問機器的有線以太網接口:它將全面控制系統的功能暴露在網絡面前,讓IT人員及其他系統管理員可以遠程重啟、修復及調整服務器和工作站。它能提供虛擬串行控制臺;如果安裝了合適的驅動程序,還能提供遠程桌面訪問功能。如果這項服務暴露在公開互聯網面前,那你就危險了。在授予訪問權限之前,理應需要管理員使用密碼來驗證身份,但是上述安全漏洞意味著,有人在身份未經驗證的情況下,就可以隨意進入到硬件的控制面板。即使你使用了防火墻,防止外界訪問系統的AMT,但是一旦有人或惡意軟件進入到你的網絡(比如說前臺的PC),就有可能鉆這個最新安全漏洞的空子,潛入到AMT管理的工作站或服務器的內部深處,對貴公司造成進一步的危害。
AMT是一種在英特爾的管理引擎(ME)上運行的軟件,十多年來(自酷睿2在2006年面市以來),這種技術就以某種方式嵌入到芯片組中。它在操作系統內核下面的所謂ring -2的部件這個層面運行,在系統上任何虛擬機管理程序的下面。它基本上就是你計算機中的第二個計算機,可以全面訪問網絡、外設、內存、存儲資源和處理器。有意思的是,該引擎由ARC CPU核心來驅動,而這種核心是16位或32位混合架構,稱得上是用于《星際火狐》等超級任天堂游戲的Super FX芯片的“近親”。沒錯,為《星際火狐》和《Stunt Race FX》處理3D運算的這款定制芯片是悄然控制英特爾x86芯片的ARC微處理器的前身。
英特爾的ME方面的細節在過去幾年已逐漸公開:比如說,伊戈爾·斯科欽斯基(Igor Skochinsky)在2014年對它作了一番深入的介紹( https://www.slideshare.net/codeblue_jp/igor-skochinsky-enpub )。ARC核心運行來自SPI閃存的ThreadX RTOS。它可以直接訪問以太網控制器。這年頭,它內置到了平臺控制器中心(Platform Controller Hub),英特爾的這種微芯片含有眾多硬件控制器,連接到主板上的主處理器。
主板上的主處理器
ME是個黑盒子,英特爾不想透露太多的信息,不過該芯片廠商的官方網站上有部分的文檔介紹。它讓關注隱私和安全的人為之抓狂:沒人完全知道它其實做什么;沒人知道能否真正禁用它,因為它挨近計算機中的裸機部件運行。
在一些英特爾芯片系列上,你可以有所選擇地擦除主板閃存的某些部分,徹底終結ME。
這些年來,工程師和信息安全人員一直在警告:由于所有代碼都有缺陷,英特爾的AMT軟件中肯定存在至少一處可被人遠程鉆空子的編程缺陷,而ME運行AMT,因而肯定有一種方法可以完全不用它:購買根本就沒有AMT的芯片組,而不是僅僅由硬件保險絲來禁用或斷開。
找到這樣的漏洞就好比在微軟Windows或Red Hat Enterprise Linux中,找到一個硬連線、無法移動、可遠程訪問的管理員帳戶,該帳戶使用用戶名和密碼“hackme”。只不過這個英特爾漏洞是在芯片組中,普通用戶接觸不到,現在我們等計算機廠商提供補丁。
Linux內核專家馬修·加勒特(Matthew Garrett)認為這是一個很嚴重的問題。他在這里( http://mjg59.dreamwidth.org/48429.html )發布了關于該安全漏洞的一些更詳細的技術信息。
“修復這個漏洞需要更新系統固件,以便提供新的ME固件,包括一套經過更新的AMT代碼。許多受影響的機器不再收到來自相應廠商的固件更新,可能根本得不到補丁。”
“在其中這樣一種設備上啟用AMT的人都岌岌可危。這忽視了固件更新版很少被標為安全方面很關鍵(它們通常并不通過Windows更新來獲得)這個事實,所以就算有了更新版,用戶也可能通常不了解或不安裝它們。”
| 
