具体来说,这个漏洞存在于英特尔的主动管理技术(AMT)、标准可管理性(ISM)和小企业技术(SBT)固件版本6至11.6中。据这家芯片厂商声称,这个安全漏洞让“无特权的攻击者得以控制这些产品提供的可管理性功能。”
那就意味着,黑客有可能登录进入到高危计算机的硬件(该硬件就在操作系统的眼皮底下),利用AMT的功能,悄悄地对机器做手脚,安装几乎无法被察觉的恶意软件,以及搞其他破坏。由于AMT可以直接访问计算机的网络硬件,这种破坏有可能出现在网络上。
近十年来,这些不安全的管理功能存在于众多(但并非所有)的英特尔芯片组中,从2008年的Nehalem酷睿i7开始,一直到今年推出的Kaby Lake酷睿芯片。要命的是,这个安全漏洞就处在机器的硅片的核心位置,而操作系统、应用程序和任何反病毒软件却看不到它。
只有固件层面的更新,才有可能完全解决这个编程缺陷,该缺陷存在于数以百万计的芯片中。它实际上就是潜入全球大批计算机的一道后门。
易受攻击的AMT服务是英特尔的vPro处理器功能系列中的一部分。如果某个系统上有vPro,启用了它,而且AMT已经配置,网络上未验证身份的不法分子就能访问这台系统的AMT控制机制,并加以劫持。如果AMT未经配置,已登录的用户仍有可能钻这个安全漏洞的空子,获得管理员级别权限。如果你的系统根本没有vPro或AMT,那么一点都不用担心。
英特尔认为,这个安全漏洞影响企业系统和服务器系统,因为它们往往有vPro和AMT,并已启用,但不影响针对普通人群的系统,因为这类系统通常没有vPro和AMT。你可以查看该文档(https://downloadcenter.intel.com/download/26755),看看自己的系统是否易受攻击,你应该查看一下。
基本上来说,如果你使用的机器启用了vPro和AMT,你就面临危险。
据英特尔今天声称,这个严重的安全漏洞名为CVE-2017-5689,早在3月份由Embedi的马克西姆·马尔尤廷(Maksim Malyutin)报告。想获得堵住漏洞的补丁,你要向计算机厂商索取固件更新版,或者试试这里的应对措施(https://downloadcenter.intel.com/download/26754)。这些更新版有望在今后几周内发布,应该尽快安装。英特尔公司发言人告诉英国IT网站The Register:“2017年3月,一名安全研究人员发现了使用英特尔主动管理技术(AMT)、英特尔标准可管理性(ISM)或英特尔小公司技术(SBT)的商务PC和设备中存在一处严重的固件安全漏洞,并报告了英特尔。”
“消费级PC并没有受到该安全漏洞的影响。我们没听说有人钻该安全漏洞空子搞破坏的案例。我们已实施并验证了固件更新版,以解决这个问题;我们正在与多家设备生产商合作,尽快提供给最终用户。”
英特尔的具体声明
无特权的网络攻击者有可能获得下列经配置的英特尔可管理性SKU的系统权限:英特尔主动管理技术(AMT)和英特尔标准可管理性(ISM)。
无特权的本地攻击者有可能配置可管理性功能,从而对下列英特尔可管理性SKU获得无特权的网络或本地系统权限:英特尔主动管理技术(AMT)、英特尔标准可管理性(ISM)和英特尔小企业技术(SBT)。
很显然,英特尔的小企业技术并不易受通过网络实现的权限提升的影响。视受到影响的处理器系列而定,无论你使用的是AMT、ISM还是SBT,要留意的已打补丁的固件版本如下:
- 第一代酷睿系列:6.2.61.3535
- 第二代酷睿系列:7.1.91.3272
- 第三代酷睿系列:8.1.71.3608
- 第四代酷睿系列:9.1.41.3024和9.5.61.3012
- 第五代酷睿系列:10.0.55.3000
- 第六代酷睿系列:11.0.25.3001
- 第七代酷睿系列:11.6.27.3264
半导体行业记者查利·德梅尔吉安(Charlie Demerjian)在今天早些时候解释:“简而言之,从2008年的Nehalem直到2017年的Kaby Lake,搭载AMT、ISM和SBT的每个英特尔平台都存在可以被人远程攻击的安全漏洞。”
“即使你的机器没有配置AMT、ISM或SBT,仍有可能易受攻击,而不是仅仅通过网络被黑。”
德梅尔吉安还指出,现在计算机厂商有义务发布数字签名的固件补丁,供用户和IT管理员安装。那意味着,如果你的硬件供应商是戴尔、惠普或联想之类的大牌厂商,有望立马获得补丁。如果是藉藉无名的白盒系统经销商,那你可能没辙:在这个微利润行业,发布安全、加密和固件之类的技术或服务是非常困难的工作。换句话说,你可能根本得不到所需的补丁。
AMT是什么东东?
AMT是一种带外管理工具,可通过网络端口16992来使用,以便访问机器的有线以太网接口:它将全面控制系统的功能暴露在网络面前,让IT人员及其他系统管理员可以远程重启、修复及调整服务器和工作站。它能提供虚拟串行控制台;如果安装了合适的驱动程序,还能提供远程桌面访问功能。如果这项服务暴露在公开互联网面前,那你就危险了。在授予访问权限之前,理应需要管理员使用密码来验证身份,但是上述安全漏洞意味着,有人在身份未经验证的情况下,就可以随意进入到硬件的控制面板。即使你使用了防火墙,防止外界访问系统的AMT,但是一旦有人或恶意软件进入到你的网络(比如说前台的PC),就有可能钻这个最新安全漏洞的空子,潜入到AMT管理的工作站或服务器的内部深处,对贵公司造成进一步的危害。
AMT是一种在英特尔的管理引擎(ME)上运行的软件,十多年来(自酷睿2在2006年面市以来),这种技术就以某种方式嵌入到芯片组中。它在操作系统内核下面的所谓ring -2的部件这个层面运行,在系统上任何虚拟机管理程序的下面。它基本上就是你计算机中的第二个计算机,可以全面访问网络、外设、内存、存储资源和处理器。有意思的是,该引擎由ARC CPU核心来驱动,而这种核心是16位或32位混合架构,称得上是用于《星际火狐》等超级任天堂游戏的Super FX芯片的“近亲”。没错,为《星际火狐》和《Stunt Race FX》处理3D运算的这款定制芯片是悄然控制英特尔x86芯片的ARC微处理器的前身。
英特尔的ME方面的细节在过去几年已逐渐公开:比如说,伊戈尔·斯科钦斯基(Igor Skochinsky)在2014年对它作了一番深入的介绍( https://www.slideshare.net/codeblue_jp/igor-skochinsky-enpub )。ARC核心运行来自SPI闪存的ThreadX RTOS。它可以直接访问以太网控制器。这年头,它内置到了平台控制器中心(Platform Controller Hub),英特尔的这种微芯片含有众多硬件控制器,连接到主板上的主处理器。
主板上的主处理器
ME是个黑盒子,英特尔不想透露太多的信息,不过该芯片厂商的官方网站上有部分的文档介绍。它让关注隐私和安全的人为之抓狂:没人完全知道它其实做什么;没人知道能否真正禁用它,因为它挨近计算机中的裸机部件运行。
在一些英特尔芯片系列上,你可以有所选择地擦除主板闪存的某些部分,彻底终结ME。
这些年来,工程师和信息安全人员一直在警告:由于所有代码都有缺陷,英特尔的AMT软件中肯定存在至少一处可被人远程钻空子的编程缺陷,而ME运行AMT,因而肯定有一种方法可以完全不用它:购买根本就没有AMT的芯片组,而不是仅仅由硬件保险丝来禁用或断开。
找到这样的漏洞就好比在微软Windows或Red Hat Enterprise Linux中,找到一个硬连线、无法移动、可远程访问的管理员帐户,该帐户使用用户名和密码“hackme”。只不过这个英特尔漏洞是在芯片组中,普通用户接触不到,现在我们等计算机厂商提供补丁。
Linux内核专家马修·加勒特(Matthew Garrett)认为这是一个很严重的问题。他在这里( http://mjg59.dreamwidth.org/48429.html )发布了关于该安全漏洞的一些更详细的技术信息。
“修复这个漏洞需要更新系统固件,以便提供新的ME固件,包括一套经过更新的AMT代码。许多受影响的机器不再收到来自相应厂商的固件更新,可能根本得不到补丁。”
“在其中这样一种设备上启用AMT的人都岌岌可危。这忽视了固件更新版很少被标为安全方面很关键(它们通常并不通过Windows更新来获得)这个事实,所以就算有了更新版,用户也可能通常不了解或不安装它们。”
|