Motore di gestione Intel® Aggiornamento del firmware critico (Intel-SA-00086)

Documentazione

Risoluzione dei problemi

000025619

16/08/2018

Motore di gestione Intel® (Intel® ME 6. x/7. x/8. x/9. x/10. x/11. x), Intel® Trusted esecuzione Engine (Intel® TXE 3,0), e Intel® Server piattaforma Servizi (Intel® SPS 4,0) vulnerabilità (Intel-SA-00086)

NotaIn questo articolo vengono descritti i problemi relativi alle vulnerabilità di sicurezza presenti nel firmware del Motore di gestione Intel® . Questo articolo non contiene informazioni relative alla vulnerabilità del canale laterale del processore (noto come Meltdown/Spectre). Se stai cercando informazioni sul problema di Meltdown/Spectre, vai a dati di analisi del canale laterale e prodotti Intel®.

In risposta ai problemi individuati dai ricercatori esterni, Intel ha eseguito una revisione approfondita della sicurezza completa dei seguenti obiettivi con l'obiettivo di migliorare la resilienza del firmware:

  • Motore di gestione Intel® (Intel® ME)
  • Motore di esecuzione Trusted Intel® (Intel® TXE)
  • Servizi di piattaforma server Intel® (SPS)

Intel ha identificato vulnerabilità di sicurezza che potrebbero influire su determinati PC, server e piattaforme IoT.

I sistemi che utilizzano le versioni firmware di Intel ME 6. x-11. x, i server che utilizzano il firmware SPS versione 4,0 e i sistemi che utilizzano TXE versione 3,0 sono influenzati. È possibile trovare queste versioni del firmware su alcuni Processori da:

  • famiglie di processore Intel® Core™ 1 °, 2 °, 3 °, 4 °, 5 °, 6 °, 7 ° e 8 ° generazione
  • processore Intel® Xeon® E3-1200 V5 e V6 famiglia di prodotti
  • processore Intel® Xeon® Famiglia scalabile
  • Processore Intel® Xeon® W
  • Famiglia di processori Intel Atom® C3000
  • Apollo Lago processore Intel Atom® serie E3900
  • Apollo Lake Processori Intel® Pentium®
  • Processore Intel® Pentium® Serie G
  • Processori della serie Intel® Celeron® G, N e J

Per determinare se le vulnerabilità identificate influiscono sul sistema, scaricare ed eseguire lo strumento di rilevamento Intel-SA-00086 utilizzando i collegamenti riportati di seguito.

Sezione Domande frequenti

Risorse disponibili

Risorse per utenti Microsoft e Linux *

NotaLe versioni dello strumento di rilevamento INTEL-SA-00086 prima di 1.0.0.146 non verificare la presenza di CVE-2017-5711 e CVE-2017-5712. Questi CVEs influiscono solo sui sistemi con tecnologia Intel® Active Management (Intel® AMT) versione 8. x-10. x. Gli utenti di sistemi con Intel AMT 8. x-10. x sono incoraggiati a installare la versione 1.0.0.146, o più tardi. L'installazione di questa versione consente di verificare lo stato del proprio sistema per quanto riguarda l'Advisory sulla sicurezza INTEL-SA-00086. È possibile controllare la versione dello strumento di rilevamento INTEL-SA-00086 eseguendo lo strumento e cercando le informazioni sulla versione nella finestra di output.

Risorse da produttori di sistemi/schede madri

NotaI collegamenti per altri produttori di sistemi/schede madri saranno forniti quando disponibili. Se il produttore non è elencato, contattarli per informazioni sulla disponibilità dell'aggiornamento Software necessario.


Domande frequenti:

D: lo strumento di rilevamento Intel-SA-00086 segnala che il sistema è vulnerabile. Cosa devo fare?
A:
Intel ha fornito ai produttori di sistemi e schede madri i firmware e gli aggiornamenti Software necessari per risolvere le vulnerabilità identificate nell'Advisory sulla sicurezza Intel-SA-00086.

Contattare il produttore del sistema o della scheda madre per quanto riguarda i loro piani per rendere gli aggiornamenti disponibili per gli utenti finali.

Alcuni produttori hanno fornito a Intel un collegamento diretto per i propri clienti per ottenere informazioni aggiuntive e aggiornamenti Software disponibili (fare riferimento all'elenco riportato di seguito).

D: perché è necessario contattare il produttore del sistema o della scheda madre? Perché Intel non può fornire l'aggiornamento necessario per il mio sistema?
A:
Intel non è in grado di fornire un aggiornamento generico a causa delle personalizzazioni del firmware del motore di gestione eseguite dai produttori di sistemi e schede madri.

D: il mio sistema è segnalato come può essere vulnerabile dallo strumento di rilevamento Intel-SA-00086. Cosa devo fare?
A:
lo stato di può essere vulnerabile è di solito visto quando uno dei seguenti driver non sono installati:

  • Motore di gestione Intel® Driver di interfaccia (Intel® MEI)
O
  • Driver Intel® Trusted esecuzione Engine Interface (Intel® TXEI)
Contattare il produttore del sistema o della scheda madre per ottenere i driver corretti per il sistema.

D: il produttore del sistema o della scheda madre non è mostrato nell'elenco. Cosa devo fare?
A:
l'elenco seguente mostra i collegamenti da produttori di sistemi o di schede madri che hanno fornito informazioni a Intel. Se il produttore non viene mostrato, contattarli utilizzando i loro meccanismi di Supporto standard (sito Web, telefono, e-mail e così via) per assistenza.

D: quali tipi di accesso è necessario che un utente malintenzionato sfrutti le vulnerabilità identificate?
A:
se il produttore dell'apparecchiatura Abilita le protezioni di scrittura consigliate da Intel descriptor, un utente malintenzionato ha bisogno di accesso fisico al flash del firmware della piattaforma per sfruttare le vulnerabilità identificate in:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
L'attaccante ottiene l'accesso fisico aggiornando manualmente la piattaforma con un'immagine del firmware dannoso attraverso il programmatore flash fisicamente collegato alla memoria flash della piattaforma. La protezione da scrittura del descrittore di Flash è un'impostazione di piattaforma solitamente impostata alla fine della produzione. La protezione da scrittura del descrittore di Flash protegge le impostazioni di Flash dall'essere maliziosamente o involontariamente modificate dopo il completamento della produzione.

Se il produttore dell'apparecchiatura non Abilita le protezioni di scrittura consigliate da Intel descriptor, un utente malintenzionato necessita dell'accesso al kernel operativo (accesso logico, anello del sistema operativo 0). L'attaccante ha bisogno di questo accesso per sfruttare le vulnerabilità identificate applicando un'immagine del firmware dannoso alla piattaforma attraverso un driver di piattaforma dannoso.

La vulnerabilità identificata in CVE-2017-5712 è sfruttabile in remoto sulla rete in combinazione con una valida amministrazione di Motore di gestione Intel® credenziali. La vulnerabilità non è sfruttabile se una credenziale amministrativa valida non è disponibile.

Se hai bisogno di ulteriore assistenza, contatta l' Supporto clienti Intel per inviare una richiesta di assistenza online.