多年来安全研究人员一直警告英特尔管理引擎(ME)的远程管理功能存在安全漏洞。虽然管理引擎为 IT 经理提供了许多有用的功能,但需要深入进行系统访问,这为攻击者提供了一个诱人的目标。让管理引擎发挥作用可能会导致黑客完全控制目标计算机。现在,在几个研究小组先后发现了管理引擎的错误之后,英特尔已经证实这种最坏的情况可能发生。
CVE IDCVE TitleCVSSv3 Vectors CVE-2017-5705 Multiple buffer overflows in kernel in Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 allow attacker with local access to the system to execute arbitrary code.8. 2 High
AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2017-5708 Multiple privilege escalations in kernel in Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 allow unauthorized process to access privileged content via unspecified vector.7. 5 High
AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N
CVE-2017-5711 Multiple buffer overflows in Active Management Technology (AMT) in Intel Manageability Engine Firmware 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 allow attacker with local access to the system to execute arbitrary code with AMT execution privilege.6. 7 Moderate
AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE-2017-5712 Buffer overflow in Active Management Technology (AMT) in Intel Manageability Engine Firmware 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 allows attacker with remote Admin access to the system to execute arbitrary code with AMT execution privilege.7. 2 High
AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE IDCVE TitleCVSSv3 Vectors CVE-2017-5706 Multiple buffer overflows in kernel in Intel Server Platform Services Firmware 4.0 allow attacker with local access to the system to execute arbitrary code.CVSS 8.2 High
AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2017-5709 Multiple privilege escalations in kernel in Intel Server Platform Services Firmware 4.0 allows unauthorized process to access privileged content via unspecified vector.CVSS 7.5 High
AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N
周一,芯片制造商发布了一个安全公告,列出了管理引擎中的新安全漏洞,以及远程管理工具 Server Platform Services 以及 Intel 硬件验证工具 Trusted Execution Engine 中存在的错误。英特尔是在近期研究激发了安全审计之后发现这些漏洞的。它还发布了一个检测工具,以便 Windows 和 Linux 管理员可以检查他们的系统是否已经暴露。
上层管理工具
管理引擎是一个独立的子系统,位于英特尔芯片组的独立微处理器上;它允许管理员远程控制从应用更新到故障排除等所有类型的功能。而且由于它对主系统处理器拥有广泛的访问和控制权,管理引擎中的缺陷对于攻击者来说是一个很大的入口。有些人甚至称管理引擎造成了不必要的安全隐患。
俄罗斯固件研究人员 Maxim Goryachy 和 Mark Ermolov 将于下个月在欧洲黑帽大会(Black Hat Europe)上发布相应的调查结果,用英特尔发言人 Agnes Kwan 的话说,他们也进行了所谓的“积极,广泛,严格的产品评估”。两位俄罗斯研究人员的工作显示管理引擎有一个漏洞,可以在新的英特尔芯片组上运行未经验证的代码,以管理引擎作为未经检查的启动点从而获得越来越多的控制权。研究人员还发现,即使计算机处于“关闭”状态,只要插入设备电源,它也可以运行。因为管理引擎处于单独的微处理器上,基本上算是一台完全独立的电脑。
与之前的管理引擎漏洞一样,几乎所有近期推出的英特尔芯片都受到了影响,这一安全问题影响到了各种服务器,个人电脑以及物联网设备。虽然英特尔会向设备制造商提供更新,但是用户需要等待厂商发布补丁。目前英特尔声称有消费者可用的固件更新列表,但到目前为止只有联想提供了一个。
英特尔在向《连线》发表的声明中说:“这些更新目前可用。使用包含这些英特尔芯片的相应计算机或设备的企业,其系统管理员和系统所有者应该向其设备制造商或供应商查询其系统的更新,并尽快下载任何适用的更新。”但在很多情况下,可能需要一段时间才能彻底解决问题。
新披露的漏洞可能导致设备不稳定或系统崩溃。它们可以用来仿冒管理引擎,服务器平台服务和可信执行引擎来通过安全验证。英特尔表示甚至可以用它来“加载和执行用户和操作系统以外的任意代码”。这是管理引擎的关键漏洞。如果其被加以利用,它可以完全独立于目标计算机运行,这意味着许多管理引擎攻击根本不会产生告警。
影响并不明确
鉴于英特尔目前公布的信息量相对有限,目前对于管理漏洞的真正影响还不明确。
密码学工程师兼研究员 FilippoValsorda 说:“这看起来很糟糕,但我们还不清楚这些漏洞是否会被轻易利用。受影响的设备非常广泛,而不仅仅是服务器。英特尔似乎非常担心,立即就做出了反应,很快发布了检测工具。”
好消息是,大多数漏洞需要本地访问;有人必须拥有设备或深入目标网络。但是,英特尔确实注意到,如果攻击者拥有管理权限,则可以远程利用一些新漏洞。而且管理引擎的一些错误还可能允许权限升级,这可能使得攻击者能够以标准用户状态为起点,并授权访问更高一级的网络。
“基于公开的信息,我们还不知道这个漏洞到底有多么严重。或许是无害的,或许会造成巨大影响,“谷歌安全研究员马修·加勒特(Matthew Garrett)在 Twitter 上首次发布漏洞时写道,但是他很快就补充说:“反正我还没有看到什么后果发生。”
关于管理引擎的影响到底有多大还需要一段时间才能显现出来,但对于多年来已经警告过管理引擎危险的研究人员来说,英特尔目前的修补无济于事。