Mecanismo de gerenciamento Intel® Atualização de firmware crítica (Intel-SA-00086)

Documentação

Solução de problemas

000025619

16-Aug-2018

Mecanismo de gerenciamento Intel® (Intel® me 6. x/7. x/8. x/9. x/10. x/11. x), o mecanismo de execução confiável Intel® (Intel® TXe 3,0) e a vulnerabilidade dos Serviços de plataforma de servidor Intel® (Intel® SPS 4,0) (Intel-SA-00086)

NotaEste artigo descreve problemas relacionados a vulnerabilidades de segurança encontradas no firmware do Mecanismo de gerenciamento Intel® . Este artigo não contém informações relacionadas à vulnerabilidade de canal lateral do processador (conhecido como Meltdown/Spectre). Se você estiver procurando por informações sobre o problema Meltdown/Spectre, acesse fatos de análise de canal lateral e produtos Intel®.

Em resposta a questões identificadas por pesquisadores externos, a Intel executou uma análise detalhada de segurança abrangente do seguinte com o objetivo de aprimorar a resiliência de firmware:

  • Mecanismo de gerenciamento Intel® (Intel® ME)
  • Mecanismo de execução confiável Intel® (Intel® TXE)
  • Serviços de plataforma de servidor Intel® (SPS)

A Intel identificou vulnerabilidades de segurança que potencialmente podem afetar determinados PCs, servidores e plataformas IoT.

Sistemas usando o Intel ME firmware versões 6. x-11. x, servidores usando SPS firmware versão 4,0 e sistemas usando TXE versão 3,0 são afetados. Poderá encontrar estas versões de firmware em determinados Processadores a partir do:

  • 1ª, 2ª, 3ª, 4ª, 5ª, 6ª, 7ª e 8ª geração de famílias de processador Intel® Core™
  • processador Intel® Xeon® Família de produtos E3-1200 V5 e V6
  • processador Intel® Xeon® Família escalável
  • Processador Intel® Xeon® W
  • Família de processadores Intel Atom® C3000
  • Apollo Lake Intel Atom® processador série E3900
  • Apollo Lake Processadores Intel® Pentium®
  • processador Intel® Pentium® Série G
  • Processadores da série Intel® Celeron® G, N e J

Para determinar se as vulnerabilidades identificadas impactam seu sistema, baixe e execute a ferramenta de detecção Intel-SA-00086 usando os links abaixo.

Seção de perguntas freqüentes

Recursos disponíveis

Recursos para usuários Microsoft e Linux *

NotaAs versões da ferramenta de detecção INTEL-SA-00086 anteriores ao 1.0.0.146 não foram checadas para CVE-2017-5711 e CVE-2017-5712. Essas CVEs afetam apenas os sistemas com a tecnologia Intel® Active Management (Intel® AMT) versão 8. x-10. x. Usuários de sistemas com Intel AMT 8. x-10. x são incentivados a instalar a versão 1.0.0.146, ou posterior. Instalando esta versão ajuda a verificar o status do seu sistema no que diz respeito ao INTEL-SA-00086 Security Advisory. Você pode verificar a versão da ferramenta de detecção INTEL-SA-00086 executando a ferramenta e procurando as informações de versão na janela de saída.

Recursos de fabricantes de sistema/motherboard

NotaLinks para outros fabricantes de sistema/motherboard será fornecido quando disponível. Se o fabricante não estiver listado, contacte-os para obter informações sobre a disponibilidade da actualização de Software necessária.


Perguntas frequentes:

P: a ferramenta de detecção Intel-SA-00086 informa que o meu sistema está vulnerável. O que é que eu faço?
A:
a Intel forneceu aos fabricantes de sistemas e motherboards as atualizações necessárias de firmware e Software para resolver as vulnerabilidades identificadas no comunicado de segurança Intel-SA-00086.

Entre em contato com o fabricante do seu sistema ou motherboard sobre seus planos para disponibilizar as atualizações para os usuários finais.

Alguns fabricantes forneceram à Intel um link direto para seus clientes para obter informações adicionais e atualizações de Software disponíveis (consulte a lista abaixo).

P: por que preciso entrar em contato com o fabricante do meu sistema ou motherboard? Por que a Intel não pode fornecer a atualização necessária para o meu sistema?
A:
Intel é incapaz de fornecer uma actualização genérica devido às personalizações do firmware do motor da gerência executadas por fabricantes do sistema e do cartão-matriz.

P: meu sistema é relatado como pode ser vulnerável pela ferramenta de detecção Intel-SA-00086. O que é que eu faço?
A:
um status de pode ser vulnerável geralmente é visto quando um dos seguintes drivers não estão instalados:

  • Mecanismo de gerenciamento Intel® Driver de interface (Intel® MEI)
Ou
  • Driver da interface do mecanismo de execução confiável Intel® (Intel® TXEI)
Entre em contato com o fabricante do seu sistema ou motherboard para obter os drivers corretos para seu sistema.

P: o meu sistema ou fabricante da motherboard não é mostrado na sua lista. O que é que eu faço?
A:
a lista abaixo mostra as ligações dos fabricantes do sistema ou da placa-mãe que forneceram Intel com informação. Se o fabricante não for exibido, entre em contato com eles usando seus mecanismos de Suporte padrão (site, telefone, email e assim por diante) para obter assistência.

P: que tipos de acesso um invasor precisa para explorar as vulnerabilidades identificadas?
A:
se o fabricante do equipamento permitir a proteção de gravação do descritor flash recomendado pela Intel, um invasor precisa de acesso físico ao flash de firmware da plataforma para explorar as vulnerabilidades identificadas em:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
O invasor ganha acesso físico atualizando manualmente a plataforma com uma imagem de firmware mal-intencionado através do programador flash fisicamente conectado à memória flash da plataforma. Flash descritor de proteção contra gravação é uma configuração de plataforma geralmente definido no final da fabricação. A proteção contra gravação do flash Descriptor protege as configurações do flash de serem alteradas maliciosamente ou inadvertidamente após a conclusão da fabricação.

Se o fabricante do equipamento não habilitar as proteções de gravação do descritor flash recomendado pela Intel, um invasor precisará operar o acesso do kernel (acesso lógico, anel do sistema operacional 0). O invasor precisa desse acesso para explorar as vulnerabilidades identificadas aplicando uma imagem de firmware mal-intencionado à plataforma por meio de um driver de plataforma mal-intencionado.

A vulnerabilidade identificada no CVE-2017-5712 é explorável remotamente pela rede em conjunto com uma credencial administrativa válida do Mecanismo de gerenciamento Intel® . A vulnerabilidade não é explorável se uma credencial administrativa válida não estiver disponível.

Se necessitar de assistência adicional, contacte o Suporte técnico da Intel para submeter uma solicitação de serviço online.