Atualização crítica do firmware Mecanismo de gerenciamento Intel® (Intel-SA-00086)

Documentação

Solução de problemas

000025619

13/11/2023

vulnerabilidade (Intel-SA-00086) Mecanismo de gerenciamento Intel® (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Mecanismo de execução confiável Intel® (Intel® TXE 3.0) e Intel® Server Platform Services (Intel® SPS 4.0)

Nota Este artigo descreve problemas relacionados a vulnerabilidades de segurança encontradas no Intel® Management Engine Firmware. Este artigo não contém informações relacionadas a vulnerabilidade do canal lateral do processador (conhecida como Meltdown/Spectre). Se você estiver procurando informações sobre o problema Meltdown/Spectre, visite o site Fatos sobre a análise do canal lateral e os produtos Intel®.

Em resposta a problemas identificados por pesquisadores externos, a Intel fez uma análise profunda e abrangente da segurança dos seguintes com o objetivo de melhorar a resiliência de firmware:

  • Mecanismo de gerenciamento Intel® (Intel® ME)
  • Mecanismo de execução confiável Intel® (Intel® TXE)
  • Intel® Server Platform Services (SPS)

A Intel identificou vulnerabilidades de segurança que poderiam potencialmente afetar certos PCs, servidores e plataformas da Internet das coisas.

Os sistemas que usam Intel ME versões de firmware 6.x a 11.x, os servidores que usam o firmware versão 4.0 do SPS e os sistemas que usam o TXE versão 3.0 são afetados. Você pode encontrar essas versões de firmware em certos processadores da:

  • 1ª, 2ª, 3ª, 4ª, 5ª, 6ª, 7ª e 8ª Geração Intel® Core™ famílias de processadores
  • Família de produtos do processador Intel® Xeon® E3-1200 v5 e v6
  • Família escalável de processadores Intel® Xeon®
  • Processador Intel® Xeon® W
  • Família de processadores Intel Atom® C3000
  • Processador Apollo Lake Intel Atom® Série E3900
  • Apollo Lake processadores Intel® Pentium®
  • Processador Intel® Pentium® série G
  • Processadores Intel® Celeron® séries G, N e J

Para determinar se as vulnerabilidades identificadas afetam o seu sistema, faça download e execute a ferramenta de detecção de versão Intel CSME usando os links abaixo.

Seção de perguntas frequentes

Recursos disponíveis

Recursos para os usuários da Microsoft e do Linux*

Recursos de fabricantes de motherboards e de sistemas

Nota Links para outros fabricantes de motherboard e de sistemas serão fornecidos quando estiverem disponíveis. Se o seu fabricante não estiver na lista, entre em contato com ele para obter informações sobre a disponibilidade das atualizações necessárias de software.


Perguntas frequentes:

P: A Intel CSME Version Detection Tool informa que meu sistema está vulnerável. O que eu faço?
R:
A Intel forneceu aos fabricantes de sistemas e placas-mãe as atualizações necessárias de firmware e software para resolver as vulnerabilidades identificadas no Comunicado de segurança Intel-SA-00086.

Entre em contato com o fabricante do seu sistema ou da sua motherboard para saber seus planos para disponibilizar as atualizações aos usuários finais.

Alguns fabricantes forneceram à Intel um link direto que seus clientes podem usar para obter informações adicionais e as atualizações de software disponíveis (consulte a lista abaixo).

P: Por que eu preciso entrar em contato com o fabricante do sistema ou da motherboard? Por que a Intel não fornece a atualização necessária para o meu sistema?
R: A
Intel não pôde fornecer uma atualização genérica devido às personalizações de firmware de mecanismo de gerenciamento realizadas pelos fabricantes de sistemas e placas-mãe.

P: O meu sistema é considerado como pode estar vulnerável pela ferramenta de detecção de versão Intel CSME. O que eu faço?
R:
Um status de vulnerabilidade pode ser visto geralmente quando qualquer um dos seguintes drivers não está instalado:

  • Interface do mecanismo de gerenciamento Intel® (Intel® MEI)
Ou
  • Intel® Trusted Execution Engine Interface (Intel® TXEI)

Entre em contato com o fabricante do seu sistema ou da motherboard para obter os drivers corretos para o seu sistema.

P: O fabricante do sistema ou da motherboard não é mostrado na sua lista. O que eu faço?
R:
A lista abaixo mostra links de fabricantes de sistemas ou placas-mãe que forneceram informações à Intel. Se o fabricante do seu equipamento não for mostrado, entre em contato com ele usando os mecanismos padrão de suporte técnico (site, telefone, e-mail, etc.) para obter assistência.

P: Que tipos de acesso um invasor precisaria ter para explorar as vulnerabilidades identificadas?
R:
Se o fabricante do equipamento habilitar as proteções contra gravação Flash Descriptor recomendadas pela Intel, o invasor precisará de acesso físico ao flash de firmware da plataforma para explorar vulnerabilidades identificadas em:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

Fim da fabricação

O invasor obtém físico por meio da atualização manual da plataforma com uma imagem de firmware mal-intenciona através de um programador de flash que está fisicamente conectado à memória flash da plataforma. A proteção contra gravação Flash Descriptor é uma configuração de plataforma geralmente definida no final da fabricação. A proteção contra gravação Flash Descriptor protege contra a alteração maliciosa ou não-intencional das configurações do flash após a conclusão da fabricação.

Se o fabricante do equipamento não habilitar as proteções contra gravação Flash Descriptor recomendadas pela Intel, o invasor precisará de acesso ao kernel operacional (acesso lógico, Anel 0 do sistema operacional). O invasor precisa desse acesso para explorar vulnerabilidades conhecidas, por meio da aplicação de uma imagem de firmware mal-intencionado à plataforma com o uso de um driver mal-intencionado de plataforma.

A vulnerabilidade identificada no CVE-2017-5712 pode ser explorada remotamente pela rede em conjunto com uma credencial administrativa válida Mecanismo de gerenciamento Intel®. A vulnerabilidade não pode ser explorada se não houver uma credencial administrativa válida.

Se você precisar de ajuda adicional, entre em contato com Intel Customer Support para enviar uma solicitação de serviço online.