紅色警報：數百萬的英特爾工作站和伺服器晶元已裸奔近十年！

在過去的9年間，數以百萬計的英特爾工作站和伺服器晶元居然隱藏有一處安全漏洞，這個漏洞有可能被不法分子鑽空子，從而遠程控制系統，並利用間諜軟體感染系統。

具體來說，這個漏洞存在於英特爾的主動管理技術（AMT）、標準可管理性（ISM）和小企業技術（SBT）固件版本6至11.6中。據這家晶元廠商聲稱，這個安全漏洞讓「無特權的攻擊者得以控制這些產品提供的可管理性功能。」

那就意味著，黑客有可能登錄進入到高危計算機的硬體（該硬體就在操作系統的眼皮底下），利用AMT的功能，悄悄地對機器做手腳，安裝幾乎無法被察覺的惡意軟體，以及搞其他破壞。由於AMT可以直接訪問計算機的網路硬體，這種破壞有可能出現在網路上。

近十年來，這些不安全的管理功能存在於眾多（但並非所有）的英特爾晶元組中，從2008年的Nehalem酷睿i7開始，一直到今年推出的Kaby Lake酷睿晶元。要命的是，這個安全漏洞就處在機器的矽片的核心位置，而操作系統、應用程序和任何反病毒軟體卻看不到它。

只有固件層面的更新，才有可能完全解決這個編程缺陷，該缺陷存在於數以百萬計的晶元中。它實際上就是潛入全球大批計算機的一道後門。

易受攻擊的AMT服務是英特爾的vPro處理器功能系列中的一部分。如果某個系統上有vPro，啟用了它，而且AMT已經配置，網路上未驗證身份的不法分子就能訪問這台系統的AMT控制機制，並加以劫持。如果AMT未經配置，已登錄的用戶仍有可能鑽這個安全漏洞的空子，獲得管理員級別許可權。如果你的系統根本沒有vPro或AMT，那麼一點都不用擔心。

英特爾認為，這個安全漏洞影響企業系統和伺服器系統，因為它們往往有vPro和AMT，並已啟用，但不影響針對普通人群的系統，因為這類系統通常沒有vPro和AMT。你可以查看該文檔（https://downloadcenter.intel.com/download/26755），看看自己的系統是否易受攻擊，你應該查看一下。

基本上來說，如果你使用的機器啟用了vPro和AMT，你就面臨危險。

據英特爾今天聲稱，這個嚴重的安全漏洞名為CVE-2017-5689，早在3月份由Embedi的馬克西姆·馬爾尤廷（Maksim Malyutin）報告。想獲得堵住漏洞的補丁，你要向計算機廠商索取固件更新版，或者試試這裡的應對措施（https://downloadcenter.intel.com/download/26754）。這些更新版有望在今後幾周內發布，應該儘快安裝。

英特爾公司發言人告訴英國IT網站The Register：「2017年3月，一名安全研究人員發現了使用英特爾主動管理技術（AMT）、英特爾標準可管理性（ISM）或英特爾小公司技術（SBT）的商務PC和設備中存在一處嚴重的固件安全漏洞，並報告了英特爾。」

「消費級PC並沒有受到該安全漏洞的影響。我們沒聽說有人鑽該安全漏洞空子搞破壞的案例。我們已實施並驗證了固件更新版，以解決這個問題；我們正在與多家設備生產商合作，儘快提供給最終用戶。」

具體來說，英特爾聲明如下：

無特權的網路攻擊者有可能獲得下列經配置的英特爾可管理性SKU的系統許可權：英特爾主動管理技術（AMT）和英特爾標準可管理性（ISM）。

無特權的本地攻擊者有可能配置可管理性功能，從而對下列英特爾可管理性SKU獲得無特權的網路或本地系統許可權：英特爾主動管理技術（AMT）、英特爾標準可管理性（ISM）和英特爾小企業技術（SBT）。

很顯然，英特爾的小企業技術並不易受通過網路實現的許可權提升的影響。視受到影響的處理器系列而定，無論你使用的是AMT、ISM還是SBT，要留意的已打補丁的固件版本如下：

· 第一代酷睿系列：6.2.61.3535

· 第二代酷睿系列：7.1.91.3272

· 第三代酷睿系列：8.1.71.3608

· 第四代酷睿系列：9.1.41.3024和9.5.61.3012

· 第五代酷睿系列：10.0.55.3000

· 第六代酷睿系列：11.0.25.3001

· 第七代酷睿系列：11.6.27.3264

半導體行業記者查利·德梅爾吉安（Charlie Demerjian）在今天早些時候解釋：「簡而言之，從2008年的Nehalem直到2017年的Kaby Lake，搭載AMT、ISM和SBT的每個英特爾平台都存在可以被人遠程攻擊的安全漏洞。」

「即使你的機器沒有配置AMT、ISM或SBT，仍有可能易受攻擊，而不是僅僅通過網路被黑。」

德梅爾吉安還指出，現在計算機廠商有義務發布數字簽名的固件補丁，供用戶和IT管理員安裝。那意味著，如果你的硬體供應商是戴爾、惠普或聯想之類的大牌廠商，有望立馬獲得補丁。如果是藉藉無名的白盒系統經銷商，那你可能沒轍：在這個微利潤行業，發布安全、加密和固件之類的技術或服務是非常困難的工作。換句話說，你可能根本得不到所需的補丁。

AMT是什麼東東？

AMT是一種帶外管理工具，可通過網路埠16992來使用，以便訪問機器的有線乙太網介面：它將全面控制系統的功能暴露在網路面前，讓IT人員及其他系統管理員可以遠程重啟、修復及調整伺服器和工作站。它能提供虛擬串列控制台；如果安裝了合適的驅動程序，還能提供遠程桌面訪問功能。如果這項服務暴露在公開互聯網面前，那你就危險了。

在授予訪問許可權之前，理應需要管理員使用密碼來驗證身份，但是上述安全漏洞意味著，有人在身份未經驗證的情況下，就可以隨意進入到硬體的控制面板。即使你使用了防火牆，防止外界訪問系統的AMT，但是一旦有人或惡意軟體進入到你的網路（比如說前台的PC），就有可能鑽這個最新安全漏洞的空子，潛入到AMT管理的工作站或伺服器的內部深處，對貴公司造成進一步的危害。

AMT是一種在英特爾的管理引擎（ME）上運行的軟體，十多年來（自酷睿2在2006年面市以來），這種技術就以某種方式嵌入到晶元組中。它在操作系統內核下面的所謂ring -2的部件這個層面運行，在系統上任何虛擬機管理程序的下面。它基本上就是你計算機中的第二個計算機，可以全面訪問網路、外設、內存、存儲資源和處理器。有意思的是，該引擎由ARC CPU核心來驅動，而這種核心是16位或32位混合架構，稱得上是用於《星際火狐》等超級任天堂遊戲的Super FX晶元的「近親」。沒錯，為《星際火狐》和《Stunt Race FX》處理3D運算的這款定製晶元是悄然控制英特爾x86晶元的ARC微處理器的前身。

英特爾的ME方面的細節在過去幾年已逐漸公開：比如說，伊戈爾·斯科欽斯基（Igor Skochinsky）在2014年對它作了一番深入的介紹（https://www.slideshare.net/codeblue_jp/igor-skochinsky-enpub）。ARC核心運行來自SPI快閃記憶體的ThreadX RTOS。它可以直接訪問乙太網控制器。這年頭，它內置到了平台控制器中心（Platform Controller Hub），英特爾的這種微晶元含有眾多硬體控制器，連接到主板上的主處理器。

主板上的主處理器。

ME是個黑盒子，英特爾不想透露太多的信息，不過該晶元廠商的官方網站上有部分的文檔介紹。它讓關注隱私和安全的人為之抓狂：沒人完全知道它其實做什麼；沒人知道能否真正禁用它，因為它挨近計算機中的裸機部件運行。

在一些英特爾晶元系列上，你可以有所選擇地擦除主板快閃記憶體的某些部分，徹底終結ME。

這些年來，工程師和信息安全人員一直在警告：由於所有代碼都有缺陷，英特爾的AMT軟體中肯定存在至少一處可被人遠程鑽空子的編程缺陷，而ME運行AMT，因而肯定有一種方法可以完全不用它：購買根本就沒有AMT的晶元組，而不是僅僅由硬體保險絲來禁用或斷開。

找到這樣的漏洞就好比在微軟Windows或Red Hat Enterprise Linux中，找到一個硬連線、無法移動、可遠程訪問的管理員帳戶，該帳戶使用用戶名和密碼「hackme」。只不過這個英特爾漏洞是在晶元組中，普通用戶接觸不到，現在我們等計算機廠商提供補丁。

Linux內核專家馬修·加勒特（Matthew Garrett）認為這是一個很嚴重的問題。他在這裡（http://mjg59.dreamwidth.org/48429.html）發布了關於該安全漏洞的一些更詳細的技術信息。

「修復這個漏洞需要更新系統固件，以便提供新的ME固件，包括一套經過更新的AMT代碼。許多受影響的機器不再收到來自相應廠商的固件更新，可能根本得不到補丁。」

「在其中這樣一種設備上啟用AMT的人都岌岌可危。這忽視了固件更新版很少被標為安全方面很關鍵（它們通常並不通過Windows更新來獲得）這個事實，所以就算有了更新版，用戶也可能通常不了解或不安裝它們。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！