Intel® Management Engine Critical Firmware Update (Intel-SA-00086)

Documentação

Solução de problemas

000025619

07/07/2021

Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) e vulnerabilidade de Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

NotaEste artigo descreve problemas relacionados a vulnerabilidades de segurança encontradas no Intel® Management Engine Firmware. Este artigo não contém informações relacionadas à vulnerabilidade do canal lateral do processador (conhecida como Meltdown/Spectre). Se você estiver procurando informações sobre o problema Meltdown/Spectre, acesse Fatos de análise de canal lateral e produtos Intel®.

Em resposta a problemas identificados por pesquisadores externos, a Intel fez uma análise aprofundada e abrangente da segurança dos seguintes com o objetivo de melhorar a resiliência de firmware:

  • Intel® Management Engine (Intel® ME)
  • Intel® Trusted Execution Engine (Intel® TXE)
  • Intel® Server Platform Services (SPS)

A Intel identificou vulnerabilidades de segurança que poderiam potencialmente afetar certos PCs, servidores e plataformas de IoT.

Os sistemas que Intel ME firmware versões 6.x a 11.x, os servidores que usam o firmware SPS versão 4.0 e os sistemas que usam o TXE versão 3.0 são afetados. Você pode encontrar essas versões de firmware em certos processadores de:

  • 1ª, 2ª, 3ª, 4ª, 5ª, 6ª, 7ª e 8ª gerações Intel® Core™ famílias de processadores
  • Intel® Xeon® família de produtos dos processadores E3-1200 v5 e v6
  • Intel® Xeon® família escalável de processadores
  • Intel® Xeon® W Processor
  • Intel Atom® família de processadores C3000
  • Apollo Lake Intel Atom® série E3900
  • Apollo Lake processadores Intel® Pentium® Intel
  • Processador Intel® Pentium® série G
  • Processadores Intel® Celeron® séries G, N e J

Para determinar se as vulnerabilidades identificadas impactam o seu sistema, faça download e execute a ferramenta de detecção de Intel CSME versão usando os links abaixo.

Seção de perguntas frequentes

Recursos disponíveis

Recursos para os usuários da Microsoft e do Linux*

Recursos de fabricantes de sistemas/placas-mãe

NotaLinks para outros fabricantes de sistemas/motherboards serão fornecidos quando disponíveis. Se o seu fabricante não estiver na lista, entre em contato com ele para obter informações sobre a disponibilidade da atualização de software necessária.


Perguntas frequentes:

P: A ferramenta de Intel CSME de detecção de versão informa que meu sistema está vulnerável. O que eu faço?
R:
A Intel forneceu aos fabricantes de sistemas e motherboards as atualizações de firmware e de software necessárias para resolver as vulnerabilidades identificadas no comunicado de segurança Intel-SA-00086.

Entre em contato com o fabricante do seu sistema ou da motherboard para saber seus planos de disponibilizar as atualizações aos usuários finais.

Alguns fabricantes têm fornecido à Intel um link direto para que seus clientes obtenham informações adicionais e atualizações de software disponíveis (consulte a lista abaixo).

P: Por que eu preciso entrar em contato com o fabricante do meu sistema ou da motherboard? Por que a Intel não fornece a atualização necessária para o meu sistema?
R:
A Intel não pode fornecer uma atualização genérica devido às personalizações de firmware de gerenciamento de mecanismo realizadas pelos fabricantes de sistemas e de motherboards.

P: O meu sistema é relatado como pode estar vulnerável pela ferramenta de detecção de Intel CSME versão. O que eu faço?
R:
Um status de pode estar vulnerável geralmente é visto quando um dos seguintes drivers não está instalado:

  • Intel® Management Engine Interface (Intel® MEI)
Ou
  • driver Intel® Trusted Execution Engine Interface (Intel® TXEI)

Entre em contato com o fabricante do seu sistema ou da motherboard para obter os drivers corretos para o seu sistema.

P: O fabricante do meu sistema ou da motherboard não é mostrado na sua lista. O que eu faço?
R:
A lista abaixo mostra links de fabricantes de sistemas ou de motherboards que forneceu informações à Intel. Se o fabricante do seu equipamento não for mostrado, entre em contato com ele usando os mecanismos padrão de suporte (site, telefone, e-mail e assim por diante) para assistência.

P: Que tipos de acesso um invasor precisaria para explorar as vulnerabilidades identificadas?
R:
Se o fabricante do equipamento habilitar as proteções contra gravação Flash Descriptor recomendadas pela Intel, o invasor precisará de acesso físico ao firmware da plataforma para explorar as vulnerabilidades identificadas em:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

Fim da fabricação

O invasor obtém acesso físico ao atualizar manualmente a plataforma com uma imagem de firmware mal-intenciona através de um programador de flash fisicamente conectado à memória flash da plataforma. Proteção contra gravação Flash Descriptor é uma configuração de plataforma geralmente definida no final da fabricação. A proteção contra gravação Flash Descriptor protege contra a alteração maliciosa ou não-intencional das configurações no Flash após a conclusão da fabricação.

Se o fabricante do equipamento não habilitar as proteções contra gravação Flash Descriptor recomendadas pela Intel, o invasor precisará de acesso ao kernel operacional(acessológico, Anel 0 do sistema operacional). O invasor precisa desse acesso para explorar as vulnerabilidades identificadas por meio da aplicação de uma imagem de firmware mal-intencionado à plataforma por meio de um driver mal-intencionado da plataforma.

A vulnerabilidade identificada no CVE-2017-5712 pode ser explorada remotamente pela rede em conjunto com uma credencial de Intel® Management Engine administrativa válida. A vulnerabilidade não pode ser explorada se uma credencial administrativa válida não estiver disponível.

Se você precisar de assistência posterior, entre em contato com o Suporte ao Cliente Intel para enviar uma solicitação de serviço on-line.