锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
红色警报!intel数百万工作站和服务器芯片隐藏安全漏洞!

作者: 佚名  日期:2017-05-21 19:47:45   来源: 本站整理

 

具体来说,这个漏洞存在于英特尔的主动管理技术(AMT)、标准可管理性(ISM)和小企业技术(SBT)固件版本6至11.6中。据这家芯片厂商声称,这个安全漏洞让“无特权的攻击者得以控制这些产品提供的可管理性功能。”

那就意味着,黑客有可能登录进入到高危计算机的硬件(该硬件就在操作系统的眼皮底下),利用AMT的功能,悄悄地对机器做手脚,安装几乎无法被察觉的恶意软件,以及搞其他破坏。由于AMT可以直接访问计算机的网络硬件,这种破坏有可能出现在网络上。

近十年来,这些不安全的管理功能存在于众多(但并非所有)的英特尔芯片组中,从2008年的Nehalem酷睿i7开始,一直到今年推出的Kaby Lake酷睿芯片。要命的是,这个安全漏洞就处在机器的硅片的核心位置,而操作系统、应用程序和任何反病毒软件却看不到它。

只有固件层面的更新,才有可能完全解决这个编程缺陷,该缺陷存在于数以百万计的芯片中。它实际上就是潜入全球大批计算机的一道后门。

易受攻击的AMT服务是英特尔的vPro处理器功能系列中的一部分。如果某个系统上有vPro,启用了它,而且AMT已经配置,网络上未验证身份的不法分子就能访问这台系统的AMT控制机制,并加以劫持。如果AMT未经配置,已登录的用户仍有可能钻这个安全漏洞的空子,获得管理员级别权限。如果你的系统根本没有vPro或AMT,那么一点都不用担心。

英特尔认为,这个安全漏洞影响企业系统和服务器系统,因为它们往往有vPro和AMT,并已启用,但不影响针对普通人群的系统,因为这类系统通常没有vPro和AMT。你可以查看该文档(https://downloadcenter.intel.com/download/26755),看看自己的系统是否易受攻击,你应该查看一下。

基本上来说,如果你使用的机器启用了vPro和AMT,你就面临危险。

据英特尔今天声称,这个严重的安全漏洞名为CVE-2017-5689,早在3月份由Embedi的马克西姆·马尔尤廷(Maksim Malyutin)报告。想获得堵住漏洞的补丁,你要向计算机厂商索取固件更新版,或者试试这里的应对措施(https://downloadcenter.intel.com/download/26754)。这些更新版有望在今后几周内发布,应该尽快安装。英特尔公司发言人告诉英国IT网站The Register:“2017年3月,一名安全研究人员发现了使用英特尔主动管理技术(AMT)、英特尔标准可管理性(ISM)或英特尔小公司技术(SBT)的商务PC和设备中存在一处严重的固件安全漏洞,并报告了英特尔。”

“消费级PC并没有受到该安全漏洞的影响。我们没听说有人钻该安全漏洞空子搞破坏的案例。我们已实施并验证了固件更新版,以解决这个问题;我们正在与多家设备生产商合作,尽快提供给最终用户。”

英特尔的具体声明

无特权的网络攻击者有可能获得下列经配置的英特尔可管理性SKU的系统权限:英特尔主动管理技术(AMT)和英特尔标准可管理性(ISM)。

无特权的本地攻击者有可能配置可管理性功能,从而对下列英特尔可管理性SKU获得无特权的网络或本地系统权限:英特尔主动管理技术(AMT)、英特尔标准可管理性(ISM)和英特尔小企业技术(SBT)。

很显然,英特尔的小企业技术并不易受通过网络实现的权限提升的影响。视受到影响的处理器系列而定,无论你使用的是AMT、ISM还是SBT,要留意的已打补丁的固件版本如下:

  •  第一代酷睿系列:6.2.61.3535
  • 第二代酷睿系列:7.1.91.3272
  • 第三代酷睿系列:8.1.71.3608
  • 第四代酷睿系列:9.1.41.3024和9.5.61.3012
  • 第五代酷睿系列:10.0.55.3000
  • 第六代酷睿系列:11.0.25.3001
  • 第七代酷睿系列:11.6.27.3264

半导体行业记者查利·德梅尔吉安(Charlie Demerjian)在今天早些时候解释:“简而言之,从2008年的Nehalem直到2017年的Kaby Lake,搭载AMT、ISM和SBT的每个英特尔平台都存在可以被人远程攻击的安全漏洞。”

“即使你的机器没有配置AMT、ISM或SBT,仍有可能易受攻击,而不是仅仅通过网络被黑。”

德梅尔吉安还指出,现在计算机厂商有义务发布数字签名的固件补丁,供用户和IT管理员安装。那意味着,如果你的硬件供应商是戴尔、惠普或联想之类的大牌厂商,有望立马获得补丁。如果是藉藉无名的白盒系统经销商,那你可能没辙:在这个微利润行业,发布安全、加密和固件之类的技术或服务是非常困难的工作。换句话说,你可能根本得不到所需的补丁。

AMT是什么东东?

AMT是一种带外管理工具,可通过网络端口16992来使用,以便访问机器的有线以太网接口:它将全面控制系统的功能暴露在网络面前,让IT人员及其他系统管理员可以远程重启、修复及调整服务器和工作站。它能提供虚拟串行控制台;如果安装了合适的驱动程序,还能提供远程桌面访问功能。如果这项服务暴露在公开互联网面前,那你就危险了。在授予访问权限之前,理应需要管理员使用密码来验证身份,但是上述安全漏洞意味着,有人在身份未经验证的情况下,就可以随意进入到硬件的控制面板。即使你使用了防火墙,防止外界访问系统的AMT,但是一旦有人或恶意软件进入到你的网络(比如说前台的PC),就有可能钻这个最新安全漏洞的空子,潜入到AMT管理的工作站或服务器的内部深处,对贵公司造成进一步的危害。

AMT是一种在英特尔的管理引擎(ME)上运行的软件,十多年来(自酷睿2在2006年面市以来),这种技术就以某种方式嵌入到芯片组中。它在操作系统内核下面的所谓ring -2的部件这个层面运行,在系统上任何虚拟机管理程序的下面。它基本上就是你计算机中的第二个计算机,可以全面访问网络、外设、内存、存储资源和处理器。有意思的是,该引擎由ARC CPU核心来驱动,而这种核心是16位或32位混合架构,称得上是用于《星际火狐》等超级任天堂游戏的Super FX芯片的“近亲”。没错,为《星际火狐》和《Stunt Race FX》处理3D运算的这款定制芯片是悄然控制英特尔x86芯片的ARC微处理器的前身。

英特尔的ME方面的细节在过去几年已逐渐公开:比如说,伊戈尔·斯科钦斯基(Igor Skochinsky)在2014年对它作了一番深入的介绍( https://www.slideshare.net/codeblue_jp/igor-skochinsky-enpub )。ARC核心运行来自SPI闪存的ThreadX RTOS。它可以直接访问以太网控制器。这年头,它内置到了平台控制器中心(Platform Controller Hub),英特尔的这种微芯片含有众多硬件控制器,连接到主板上的主处理器。

主板上的主处理器

ME是个黑盒子,英特尔不想透露太多的信息,不过该芯片厂商的官方网站上有部分的文档介绍。它让关注隐私和安全的人为之抓狂:没人完全知道它其实做什么;没人知道能否真正禁用它,因为它挨近计算机中的裸机部件运行。

在一些英特尔芯片系列上,你可以有所选择地擦除主板闪存的某些部分,彻底终结ME。

这些年来,工程师和信息安全人员一直在警告:由于所有代码都有缺陷,英特尔的AMT软件中肯定存在至少一处可被人远程钻空子的编程缺陷,而ME运行AMT,因而肯定有一种方法可以完全不用它:购买根本就没有AMT的芯片组,而不是仅仅由硬件保险丝来禁用或断开。

找到这样的漏洞就好比在微软Windows或Red Hat Enterprise Linux中,找到一个硬连线、无法移动、可远程访问的管理员帐户,该帐户使用用户名和密码“hackme”。只不过这个英特尔漏洞是在芯片组中,普通用户接触不到,现在我们等计算机厂商提供补丁。

Linux内核专家马修·加勒特(Matthew Garrett)认为这是一个很严重的问题。他在这里( http://mjg59.dreamwidth.org/48429.html )发布了关于该安全漏洞的一些更详细的技术信息。

“修复这个漏洞需要更新系统固件,以便提供新的ME固件,包括一套经过更新的AMT代码。许多受影响的机器不再收到来自相应厂商的固件更新,可能根本得不到补丁。”

“在其中这样一种设备上启用AMT的人都岌岌可危。这忽视了固件更新版很少被标为安全方面很关键(它们通常并不通过Windows更新来获得)这个事实,所以就算有了更新版,用户也可能通常不了解或不安装它们。”



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等