Aggiornamento critico del firmware Intel® Management Engine (Intel-SA-00086)

Documentazione

Risoluzione dei problemi

000025619

16-Aug-2018

Vulnerabilità del Motore di gestione Intel® (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Motore di esecuzione attendibile Intel® (Intel® TXE 3.0) e Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

Nota Questo articolo descrive i problemi correlati alle vulnerabilità di sicurezza rilevate nel firmware del Motore di gestione Intel®. Questo articolo non contiene informazioni relative alla vulnerabilità side-channel del processore (nota come Meltdown/Spectre). Se si cercano informazioni sul problema Meltdown/Spectre, consultare i risultati dell'analisi side-channel e prodotti Intel®.

In risposta ai problemi individuati da ricercatori esterni, Intel ha eseguito una revisione completa e approfondita della sicurezza dei seguenti componenti con l'obiettivo di migliorare la resilienza del firmware:

  • Motore di gestione Intel®
  • Motore di esecuzione attendibile Intel®
  • Intel® Server Platform Services (SPS)

Intel ha identificato delle vulnerabilità della sicurezza che potenzialmente potrebbero influire su determinati PC, server e piattaforme IoT.

Sono interessati da questa vulnerabilità i sistemi che utilizzano il firmware del Motore di gestione Intel versioni 6.x-11, i server che utilizzano il firmware di SPS versione 4.0 e i sistemi che utilizzano la versione 3.0 di Motore di esecuzione attendibile Intel®. Queste versioni del firmware si trovano su determinati processori dei seguenti tipi:

  • Famiglie di processori Intel® Core™ di prima, seconda, terza, quarta, quinta, sesta, settima e ottava generazione
  • Famiglia di processori Intel® Xeon® E3-1200 v5 e v6
  • Famiglia di processori scalabili Intel® Xeon®
  • Processore Intel® Xeon® W
  • Famiglia di processori Intel Atom® C3000
  • Processore Apollo Lake Intel Atom® serie E3900
  • Processori Apollo Lake Intel® Pentium®
  • Processore Intel® Pentium® serie G
  • Processori Intel® Celeron® serie G, N e J

Per determinare se le vulnerabilità identificate influiscono sul sistema, scaricare ed eseguire lo strumento di rilevamento Intel-SA-00086 utilizzando i link qui sotto.

Sezione Domande ricorrenti

Risorse disponibili

Risorse per gli utenti Linux* e Microsoft

Nota Le versioni precedenti alla 1.0.0.146 dello strumento di rilevamento Intel-SA-00086 non controllavano CVE-2017-5711 e CVE-2017-5712. Questi CVE interessano solo i sistemi con tecnologia Intel® Active Management versione 8.x-10.x. Gli utenti di sistemi basati su tecnologia Intel Active Management 8.x-10.x sono incoraggiati a installare la versione 1.0.0.146 o una versione successiva. L'installazione di questa versione consente di verificare lo stato del sistema per quanto riguarda l'avviso sulla sicurezza INTEL-SA-00086. È possibile controllare la versione dello strumento di rilevamento INTEL-SA-00086 eseguendo lo strumento e leggendo le informazioni sulla versione nella finestra dell'output.

Risorse dei produttori di sistemi/schede madri

Nota Se disponibili, verranno forniti i link per gli altri produttori di sistemi/schede madri. Se il produttore non è presente nell'elenco, contattarlo per avere informazioni sulla disponibilità degli aggiornamenti del software necessari.


Domande ricorrenti:

D: Lo strumento di rilevamento Intel-SA-00086 indica che il mio sistema è vulnerabile. Qual è la soluzione?
R:
Intel ha fornito ai produttori di sistemi e schede madri gli aggiornamenti del firmware e del software necessari per risolvere le vulnerabilità identificate nel Security Advisory Intel-SA-00086.

Contattare il produttore del sistema o della scheda madre per sapere quando prevedono di rendere disponibili gli aggiornamenti per gli utenti finali.

Alcuni produttori hanno fornito a Intel un link diretto per consentire ai loro clienti di ottenere ulteriori informazioni e gli aggiornamenti del software disponibili (consultare l'elenco qui di seguito).

D: Perché è necessario contattare il produttore del sistema o della scheda madre? Perché Intel non fornisce l'aggiornamento necessario per il mio sistema?
R:
Intel non è in grado di fornire un aggiornamento generico a causa delle personalizzazioni del firmware del motore di gestione eseguite dai produttori dei sistemi e delle schede madre.

D: Il mio sistema è segnalato come potenzialmente vulnerabile dallo strumento di rilevamento Intel-SA-00086. Qual è la soluzione?
R:
Lo stato potenzialmente vulnerabile, viene in genere visualizzato quando uno dei seguenti fattori non è installato:

  • Driver dell'interfaccia del motore di gestione Intel® 
oppure
  • Driver di Intel® Trusted Execution Engine Interface (Intel® TXEI)
Contattare il produttore del sistema o della scheda madre per ottenere il driver corretto per il sistema.

D: Il produttore del mio sistema o della mia scheda madre non compaiono nell'elenco. Qual è la soluzione?
R:
L'elenco seguente mostra i link dei produttori di sistemi o schede madri che hanno fornito informazioni a Intel. Se il produttore non è presente, contattare il produttore utilizzando i suoi strumenti standard di supporto (sito Web, telefono, e-mail e così via) per ricevere assistenza.

D: Quali tipi di accesso sarebbero necessari a un utente malintenzionato per sfruttare le vulnerabilità identificate?
R:
Se il produttore dell'apparecchiatura attiva le protezioni da scrittura Flash Descriptor consigliate da Intel, un utente malintenzionato deve disporre dell'accesso fisico alla memoria flash del firmware della piattaforma per sfruttare le vulnerabilità identificate in:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
L'utente malintenzionato ottiene l'accesso fisico aggiornando manualmente la piattaforma con un'immagine del firmware dannosa attraverso un programmatore della flash fisicamente collegato alla memoria flash della piattaforma. La protezione da scrittura Flash Descriptor è un'impostazione della piattaforma che è in genere impostata alla fine della produzione industriale. La protezione da scrittura Flash Descriptor protegge le impostazioni della memoria flash impedendo che siano intenzionalmente o accidentalmente cambiate una volta completata la produzione.

Se il produttore dell'apparecchiatura non attiva le protezioni da scrittura Flash Descriptor consigliate da Intel, un utente malintenzionato deve disporre dell'accesso al kernel operativo (accesso logico, Ring 0 del sistema operativo). L'utente malintenzionato ha bisogno di questo tipo di accesso per sfruttare le vulnerabilità identificate applicando un'immagine del firmware dannosa per la piattaforma mediante un driver di piattaforma dannoso.

La vulnerabilità identificata in CVE-2017-5712 è sfruttabile in remoto sulla rete insieme a credenziali amministrative valide del Motore di gestione Intel®. La vulnerabilità non è sfruttabile se non sono disponibili credenziali amministrative valide.

Se è necessaria ulteriore assistenza, contattare il Supporto Clienti Intel per inviare una richiesta di assistenza online.