英特爾晶元曝遠程執行漏洞 影響10年內的企業PC產品

E安全5月2日訊英特爾周一發布消息稱，安全研究人員Maksim Malyutin發現一款關鍵安全漏洞「CVE-2017-5689」，並於三月報告了該漏洞。其影響了使用英特爾AMT、ISM或SBT的企業PC和設備。要獲取英特爾補丁關閉該漏洞，機器製造商必須進行固件升級。

而這個關鍵安全漏洞存在數百萬的英特爾工作站和伺服器晶元中長達9年之久，該漏洞潛在被利用可執行遠程控制操作，並通過間諜軟體感染系統。

這個在英特爾工作站和伺服器晶元中的關鍵安全漏洞厲害在哪？

Chipzilla公司指出，具體而言，Intel的主動管理技術（AMT）、標準可管理（ISM）和小型企業技術（SBT）固件版本6到11.6均存在該漏洞。這個漏洞允許無特權的攻擊者控制這些產品提供的可管理性功能。

這就意味著，黑客可以使用AMT的功能，登錄進入易受攻擊的計算機硬體，秘密篡改機器，並安裝幾乎不會被檢測到的惡意軟體等。這種影響可以是跨網路的，因為AMT可以直接訪問計算機的網路硬體。

近十年來，這些不安全的管理功能存在於多種不同的英特爾晶元組中，從2008年的Nehalem Core i7到今年的Kaby Lake Core部件。至關重要的是，這個漏洞存在於機器晶元的核心，操作系統、應用程序和任何反病毒軟體都無從察覺。

而且，這個漏洞只能通過固件升級徹底解決，並且存在於數百萬個晶元中，意味著進入全球計算機的後門。

漏洞的影響範圍

這個易受攻擊的AMT服務是英特爾vPro處理器功能套件的一部分。如果系統上存在vPro，並啟用了該服務，並且配置了AMT，那麼網路上未經驗證的黑客便可以訪問並劫持計算機的AMT控制。如果未配置AMT，則無需擔心。

英特爾認為，該漏洞影響了企業和伺服器固件，因為它們均存在並啟用了vPro和AMT，並非針對普通用戶使用的系統。

如果用戶使用的機器啟用了vPro和AMT功能，用戶將面臨風險。值得注意的是雖然現代的蘋果Macs使用的是英特爾晶元，但並未使用AMT軟體，因此Macs是安全的，用戶可以放心使用。

但消費者電腦未受到影響，因為目前為止英特爾尚未發現對此漏洞的利用案例。

英特爾表示：

• 無特權的網路攻擊者可以獲取英特爾可管理性SKU的系統特權：AMT和ISM。

• 無特權的本地攻擊者可以提供可管理性功能獲取英特爾可管理SKU上的無特權網路或本地系統特權：AMT、ISM和SBT.

很顯然，英特爾SBT不易受到通過網路執行的特權升級攻擊。受影響的固件版本和處理器如下，使用AMT、ISM或SBT的客戶應留心。

• 第一代Core系列：6.2.61.3535

• 第二代Core系列：7.1.91.3272

• 第三代Core系列：8.1.71.3608

• 第四代Core系列：9.1.41.3024和9.5.61.3012

• 第五代Core系列：10.0.55.3000

• 第六代Core系列：11.0.25.3001

• 第七代Core系列：11.6.27.3264

E安全小編提請注意：

用戶若擔心，可以通過以下網址下載檢測指南，查看系統是否受到影響：

https://downloadcenter.intel.com/download/26755

用戶還應關注下載緩解措施指南，詳情點擊：

https://downloadcenter.intel.com/download/26754

固件廠商的能力決定著漏洞修復的進度

英特爾公司已提出並驗證了用固件升級解決該問題，儘管升級由英特爾開發，但必須由製造商加密簽名和分配，為此因特爾公司正與設備製造商合作，希望製造商在接下來幾周能積極配合解決問題，儘快向終端用戶提供固件升級。

Demerjian還指出，現在輪到計算機製造商為用戶和IT管理員分配數字簽名固件升級。這就意味著，如果硬體供應商是戴爾、惠普或聯想這樣的大公司，固件升級會很快發布。如果供應商不具備一定的規模和能力，問題可能就有些棘手了。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。