导语:过去的几个月里,许多研究组织都发现了Intel远程管理的特征即Management Engine (ME)的漏洞,该漏洞允许远程攻击者获取目标计算机的完全控制权。Intel已确认这些安全漏洞会让“受影响的平台处于潜在危险中”。
过去的几个月里,许多研究组织都发现了Intel远程管理的特征即Management Engine (ME)的漏洞,该漏洞允许远程攻击者获取目标计算机的完全控制权。Intel已确认这些安全漏洞会让“受影响的平台处于潜在危险中”。
本周一intel发布安全通报承认Management Engine (ME),远程服务器管理攻击Server Platform Services (SPS),硬件认证工具Trusted Execution Engine (TXE)存在漏洞,数百万设备处在危险中。
Management Engine (ME)漏洞
最严重的漏洞是CVE-2017-5705,是Intel ME固件操作系统内核多缓存溢出漏洞,允许攻击者在用户和操作系统不可见的情况下访问有漏洞的系统来装载和执行代码。
高危漏洞CVE-2017-5708是Intel ME固件操作系统内核多权限提升漏洞,允许未授权的进程通过非特定的单元访问特权内容。
受影响的版本
11.0.XX 11.5.XX 11.6.XX 11.7.XX 11.10.XX 11.20.XX
对于那些基于intel ME进行本地和远程系统管理的芯片,允许IT管理者远程地管理和修复组织内的PC、工作站和服务器。一旦系统连接到电线和网络电缆,即使电脑关机,这些远程函数可以执行,因为它的操作是与操作系统独立的。
因为ME可以访问计算机上的所有数据,包括系统内存和网络适配器,ME执行恶意代码漏洞的利用允许对该平台进行彻底的攻击。
这样,攻击者可以对ME、SPS、TXE平台保护的Intel ME特征、第三方秘密进行未认证的访问。除了在计算机上运行未授权的代码,intel列举了一些攻击者可以破坏系统或者让系统运行不稳定的场景。
另一个高危的漏洞是CVE-2017-5711,Intel ME固件的Active Management Technology (AMT)缓冲区移除漏洞,允许可以远程管理访问系统的攻击以AMT执行权限执行代码。
Intel ME固件版本为8.x,9.x,10.x,11.0.XX,11.5.XX,11.6.XX,11.7.XX,11.10.XX,11.20.XX的AMT都受到这样漏洞的影响。
最坏的情况是几乎不可能关闭ME来防止这些漏洞被利用。Positive Technologies说,对现在的计算机来说,不可能彻底关闭ME。因为ME负责初始化、电源管理和主处理器的启动。
其他高危漏洞影响TXE3.0版本和SPS4.0版本,使上百万台计算机处于危险中。
Server Platform Service (SPS)高危漏洞
· CVE-2017-5706:Intel SPS固件操作系统内核多缓冲区溢出漏洞,允许攻击者本地访问系统执行恶意代码。
· CVE-2017-5709:Intel SPS固件操作系统内核多权限提升漏洞,允许非授权的进程通过非指定的单元访问特权内容。
这些漏洞都影响Intel SPS固件4.0.X.X版本。
Intel Trusted Execution Engine (TXE)高危漏洞
· CVE-2017-5707:Intel TXE固件操作系统内核多缓冲区溢出漏洞,允许攻击者本地访问系统执行任意代码。
· CVE-2017-5710:Intel TXE固件操作系统内核权限提升漏洞,允许非授权的进程通过非指定的单元访问特权内容。
这些漏洞都影响Intel TXE固件3.0.X.X版本。
受影响的Intel产品
含有漏洞固件的处理器芯片列表如下:
6th, 7th and 8th Generation Intel Core processors Xeon E3-1200 v5 and v6 processors Xeon Scalable processors Xeon W processors Atom C3000 processors Apollo Lake Atom E3900 series Apollo Lake Pentiums Celeron N and J series processors
Intel已经发布了补丁来解决这些安全漏洞,漏洞影响数百万的PC、服务器和物联网设备,受影响的用户应尽快更新和升级固件。Intel也发布了一款检测工具帮助Windows和linux管理员检查系统中是否存在上述的安全威胁。
检测工具下载地址:https://downloadcenter.intel.com/download/27150