9年来,数百万台因特尔工作站和服务器芯片都在跟可被利用远程控制和通过监控软件感染系统的一个安全漏洞朝夕相处。
这个问题出现在因特尔的主动管理技术(AMT)、标准管理(ISM)和小企业技术(SBT)固件版本6至11.6中。Chipzilla公司指出这个安全漏洞能让“非权限攻击者控制这些产品提供的管理功能”,也就是说黑客有可能登录到一个易受攻击的计算机硬件中并静默感染设备,安装无法检测到的恶意软件等。由于AMT能够直接访问计算机的网络硬件因此它可能在全网发生。
这些不安全的管理功能在多种但并非全部的因特尔芯片集中出现,且持续时间近10年,包括2008年推出的Nehalem Core i7到今年的Kaby Lake Core都受影响。这个漏洞存在于设备的硅中,操作系统、应用程序和所有杀毒软件都无法察觉。只有通过固件层面的更新才能完全解决这个问题。它存在于数百万个芯片中实际上是一个能进入全球计算机中的后门。
这个易受攻击的AMT服务是因特尔处理器功能的vPro套件的一部分。如果系统存在vPro且已启动且配置了AMT,那么未经验证的攻击者就能够访问计算机的AMT控制并将其劫持。如果AMT并未配置,那么已登录用户仍然能够利用这个漏洞获取管理员级别的权限。如果计算机上既没有vPro也没有配置AMT,那么就是安全的。
因特尔认为这个漏洞影响业务和服务器盒,因为它们由vPro且启用了AMT;而并非针对普通用户的系统。
基本来说,如果你使用的设备配置了vPro且启用了AMT功能,那么你就出于风险之中。Mac设备虽然使用的是因特尔芯片,但由于并没有配置AMT软件,因此也是安全的。
因特尔指出这个安全漏洞CVE-2017-5689由来自Embedi公司的Maksim Malyutin在今年3月份发现并报告。要修复这个漏洞必须让设备厂商更新固件,不过也可以通过一些缓解措施处理。这些更新虽然是由因特尔开发的但必须经过厂商的加密签名和传播。希望厂商能在未来几周内及时推出,用户要尽快安装这些补丁。但如果厂商是大公司的话如戴尔联想等,那么补丁会很快推出,但如果是小公司那么就可能补丁永远不会推出。
因特尔指出,非权限网络攻击者能获取系统权限访问因特尔管理SKUs:AMT和ISM;非权限本地攻击者能够获取因特尔管理SKUs的非权限网络或本地系统权限,从而利用管理功能:AMT、ISM和SBT。
显然,因特尔的SBT不受上述的权限升级影响。不管你使用的是AMT、ISM或SBT,都需要查看修复的固件版本是什么,依据是如下受影响的处理器家族:
??第一代Core family: 6.2.61.3535
??第二代Core family: 7.1.91.3272
??第三代Core family: 8.1.71.3608
??第四代Core family: 9.1.41.3024 and 9.5.61.3012
??第五代Core family: 10.0.55.3000
??第六代Core family: 11.0.25.3001
??第七代Core family: 11.6.27.3264
AMT是什么?
AMT是一款可通过设备的有线以太网接口网络端口16992访问的带外管理工具:它将系统的完全控制暴露到网络,允许IT人员和其它系统管理员远程重启、修复并轻微调整服务器和工作站。它能够提供一个虚拟串行控制台和(如果安装的是正确的驱动)远程桌面访问权限。
在获取权限之前应该要求提供密码,但是上述提到的漏洞意味着攻击者能够入侵硬件的控制面板。即使已经为系统的AMT访问权限设置了防火墙,但在用户网络上的攻击者或恶意软件仍然能够利用这个漏洞进入AMT管理的工作站和服务器并进一步攻陷企业。
AMT是一款运行在因特尔管理引擎(ME)上的软件,它是一种被因特尔以各种方式在十多年嵌入其芯片集中的技术。它从本质上讲是计算机中的第二个计算机,能够完全访问网络、周边、内存、存储和处理器。有意思的是,这个引擎是ARC CPU core驱动的,后者有16位和32位混合架构而且跟用于Super Nintendo游戏如Star Fox的Super FX芯片紧密相关。
因特尔ME的详情在过去几年中也有被欺骗的案例。Arc core运行在来自SPI闪存的ThreadX RTOS。它能直接访问以太网控制器。目前它被内置在Platform Controller Hub中,后者是一个因特尔迷你芯片,包含多种硬件控制器并跟母板上的主要处理器连接在一起。
ME是因特尔不愿谈论过多的黑匣子,尽管Chipzilla网站上对此由部分介绍。它会让人们担忧隐私和安全:没有人很透彻地了解这个引擎到底是干什么的,是否被真正禁用了。
在一些因特尔芯片家族中,可通过擦除母板闪存的部分内容来杀死ME。
多年来,工程师和信息安全专家都在告警称,由于所有的代码都存在漏洞,因特尔AMT软件中至少存在一个可被远程利用的漏洞,而ME正在运行它,因此必须找到一种解决方案:买一台根本没有AMT的芯片集,而不是仅仅禁用或断开连接。
找到这个漏洞就像是从微软Windows或Red Hat企业版Linux中找到一个硬连线的、无法删除的、且远程可访问的管理员账户,而用户名和密码是“hackme”。除了这个因特尔缺陷存在于芯片集中、用户无法处理之外,必须等待计算机厂商推出补丁。