Motore di gestione Intel® Aggiornamento critico del firmware (Intel-SA-00086)

Documentazione

Risoluzione dei problemi

000025619

16/08/2018

Motore di gestione Intel® (Intel® me 6. x/7. x/8. x/9. x/10. x/11. x, Intel® Trusted Execution Engine (Intel® TXE 3,0) e Intel® Server Platform Servizi (Intel® SPS 4,0) vulnerabilità (Intel-SA-00086)

NotaIn questo articolo vengono descritti i problemi relativi alle vulnerabilità di protezione presenti nel firmware del Motore di gestione Intel® . Questo articolo non contiene informazioni relative alla vulnerabilità del canale laterale del processore (noto come Meltdown/Spectre). Se siete alla ricerca di informazioni sul tracollo/Spectre problema, vai a lato-Channel fatti di analisi e prodotti Intel®.

In risposta alle problematiche identificate dai ricercatori esterni, Intel ha eseguito un approfondito esame di sicurezza globale dei seguenti obiettivi con l'obiettivo di migliorare la resilienza del firmware:

  • Motore di gestione Intel® (Intel® ME)
  • Motore di esecuzione Trusted Intel® (Intel® TXE)
  • Servizi della piattaforma server Intel® (SPS)

Intel ha individuato vulnerabilità di sicurezza che potrebbero potenzialmente avere un impatto su piattaforme PC, server e sacco.

I sistemi che utilizzano le versioni del firmware Intel ME 6. x-11. x, i server che utilizzano la versione 4,0 del firmware SPS e i sistemi che utilizzano TXE versione 3,0 sono influenzati. È possibile trovare queste versioni del firmware su alcuni Processori da:

  • prima, seconda, terza, quarta, Quinta, sesta, settima e ottava generazione di processore Intel® Core™
  • processore Intel® Xeon® E3-1200 V5 e famiglia di prodotti V6
  • processore Intel® Xeon® Famiglia scalabile
  • Processore Intel® Xeon® W
  • Famiglia di processori Intel Atom® C3000
  • Apollo Lake processore Intel Atom® serie E3900
  • Processori Intel® Pentium® Apollo Lake
  • Processore Intel® Pentium® Serie G
  • Processori della serie Intel® Celeron® G, N e J

Per determinare se le vulnerabilità individuate incidono sul sistema, scaricare ed eseguire lo strumento di rilevamento Intel-SA-00086 utilizzando i collegamenti riportati di seguito.

Sezione Domande frequenti

Risorse disponibili

Risorse per utenti Microsoft e Linux *

NotaLe versioni dello strumento di rilevamento INTEL-SA-00086 precedenti a 1.0.0.146 non sono state controllate per CVE-2017-5711 e CVE-2017-5712. Questi CVEs influiscono solo sui sistemi con Intel® Active Management Technology (Intel® AMT) versione 8. x-10. x. Gli utenti di sistemi con Intel AMT 8. x-10. x sono incoraggiati a installare la versione 1.0.0.146, o successiva. L'installazione di questa versione consente di verificare lo stato del sistema in relazione all'Advisory sulla sicurezza INTEL-SA-00086. È possibile controllare la versione dello strumento di rilevamento INTEL-SA-00086 eseguendo lo strumento e cercando le informazioni sulla versione nella finestra di output.

Risorse da sistema/scheda madre Produttore

NotaI link per altri sistemi/produttori di schede madri saranno forniti quando disponibili. Se il produttore non è elencato, contattarli per informazioni sulla disponibilità dell'aggiornamento Software necessario.


Domande frequenti:

D: lo strumento di rilevamento Intel-SA-00086 riporta che il mio sistema è vulnerabile. Cosa devo fare?
A:
Intel ha fornito ai produttori di sistemi e schede madri il firmware e gli aggiornamenti Software necessari per risolvere le vulnerabilità identificate nell'Advisory di sicurezza Intel-SA-00086.

Contatta il tuo sistema o produttore della scheda madre per quanto riguarda i loro piani per rendere gli aggiornamenti disponibili per gli utenti finali.

Alcuni produttori hanno fornito a Intel un collegamento diretto per i loro clienti per ottenere informazioni aggiuntive e aggiornamenti Software disponibili (fare riferimento alla lista qui sotto).

D: perché ho bisogno di contattare il mio sistema o produttore della scheda madre? Perché Intel non può fornire l'aggiornamento necessario per il mio sistema?
A:
Intel non è in grado di fornire un aggiornamento generico a causa delle personalizzazioni del firmware del motore di gestione eseguite dai produttori di sistemi e schede madri.

D: il mio sistema è segnalato come può essere vulnerabile dallo strumento di rilevazione Intel-SA-00086. Cosa devo fare?
A:
uno stato di può essere vulnerabile è di solito visto quando uno dei seguenti driver non sono installati:

  • Motore di gestione Intel® Interfaccia (Intel® MEI) driver
O
  • Driver dell'interfaccia Intel® Trusted Execution Engine (Intel® TXEI)
Contattare il produttore del sistema o della scheda madre per ottenere i driver corretti per il sistema.

D: il mio sistema o produttore della scheda madre non è visualizzato nell'elenco. Cosa devo fare?
A:
la lista qui sotto Mostra i collegamenti dai fornitori del sistema o della scheda madre che hanno fornito a Intel le informazioni. Se il produttore non viene visualizzato, contattarlo utilizzando i relativi meccanismi di Supporto standard (sito Web, telefono, e-mail e così via) per assistenza.

D: quali tipi di accesso un utente malintenzionato deve sfruttare le vulnerabilità individuate?
A:
se il produttore di apparecchiature Abilita le protezioni Intel-Recommended Flash Descriptor Write, un utente malintenzionato ha bisogno dell' accesso fisico al flash del firmware della piattaforma per sfruttare le vulnerabilità identificate in:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
L'utente malintenzionato ottiene l'accesso fisico aggiornando manualmente la piattaforma con un'immagine del firmware maligna tramite programmatore flash connesso fisicamente alla memoria flash della piattaforma. Flash Descriptor Write-Protection è un impostazione di piattaforma di solito impostato alla fine della produzione. Flash Descriptor Write-Protection protegge le impostazioni del flash da essere malintenzionato o involontariamente cambiato dopo la produzione è stata completata.

Se il produttore dell'apparecchiatura non Abilita le protezioni di scrittura flash Descriptor raccomandate da Intel, un utente malintenzionato ha bisogno dell'accesso al kernel operativo (accesso logico, anello del sistema operativo 0). L'utente malintenzionato ha bisogno di questo accesso per sfruttare le vulnerabilità identificate applicando un'immagine maligna del firmware alla piattaforma tramite un driver di piattaforma dannoso.

La vulnerabilità identificata in CVE-2017-5712 è sfruttabile in remoto sulla rete in combinazione con una credenziale amministrativa valida del Motore di gestione Intel® . La vulnerabilità non è sfruttabile se non è disponibile una credenziale amministrativa valida.

Se avete bisogno di ulteriore assistenza, contattate il Supporto clienti Intel per inviare una richiesta di assistenza online.