英特爾我們發(fā)現(xiàn)了秘密管理引擎中的嚴重漏洞影響了數(shù)百萬

由于第三方研究人員對某些芯片中的英特爾隱藏固件進行了調(diào)查，英特爾決定對其固件進行審核，并于周一確認已發(fā)現(xiàn)8個嚴重錯誤，這些錯誤會影響數(shù)百萬臺計算機和服務器。

這些缺陷會影響管理引擎(ME)，可信執(zhí)行引擎(TXE)和服務器平臺服務(SPS)。

在安全公司Positive Technologies的Maxim Goryachy和Mark Ermolov發(fā)現(xiàn)ME固件中存在一個嚴重漏洞之后，英特爾發(fā)現(xiàn)了這個漏洞，英特爾現(xiàn)在表示這個漏洞將允許具有本地訪問權(quán)限的攻擊者執(zhí)行任意代碼。

研究人員在8月份公布了一個關(guān)于政府可以用來禁用ME的秘密途徑的細節(jié)，這是公眾無法獲得的。

英特爾ME一直是安全意識用戶關(guān)注的焦點，部分原因是只有英特爾才能檢查固件，但許多研究人員懷疑這個功能強大的子系統(tǒng)存在的漏洞已經(jīng)成熟，可以被攻擊者濫用。

Goryachy和Ermolov將于12月在Blackhat上展示他們對ME漏洞的研究，詳細說明攻擊者如何在微處理器中運行未簽名的代碼，并保持對主CPU和任何反惡意軟件軟件不可見。

ME運行在自己的微處理器上，正如Google工程師最近透露的那樣，它是MINIX操作系統(tǒng)的修改版本。

谷歌非常害怕UEFI和英特爾ME，它創(chuàng)建了NERF，或者用于管理Chromebook的不可擴展縮減固件。NERF運行在Linux內(nèi)核而不是MINIX上，并刪除ME的Web服務器和IP堆棧，關(guān)鍵的EUFI驅(qū)動程序以及ME和EUFI自我重新刷新固件的能力。

ME引擎支持英特爾的主動管理技術(shù)(AMT)，允許管理員遠程管理和修復設備。

今年5月在AMT發(fā)現(xiàn)的一個漏洞，影響了2008年的芯片，突出了另一個問題：修補它需要在硬件供應商停止支持的機器上更新ME固件。只有擁有vPro的企業(yè)計算機受到影響，但這個錯誤促使EFF要求英特爾提供一種禁用ME的方法。

同樣，修補機將取決于OEM推動英特爾對設備的修復。到目前為止，英特爾僅將聯(lián)想列為可用修復程序。

為幫助用戶解決當前的一批錯誤，英特爾發(fā)布了Windows和Linux系統(tǒng)的檢測工具，可顯示系統(tǒng)的風險評估。英特爾表示，這些漏洞可能會影響PC，服務器和物聯(lián)網(wǎng)平臺。

這些漏洞會影響使用英特爾第6代，第7代和第8代核心CPU，一系列至強處理器，以及Apollo Lab Atom E3900系列，Apollo Lake Pentium以及Celeron N和J系列芯片的系統(tǒng)。

英特爾表示，這些漏洞將允許攻擊者“冒充ME / SPS / TXE，從而影響本地安全功能驗證的有效性”。

攻擊者還可以加載和執(zhí)行對用戶和操作系統(tǒng)不可見的任意代碼。

最嚴重的問題是Goryachy和Ermolov發(fā)現(xiàn)的缺陷，它涉及ME內(nèi)核中的多個緩沖區(qū)溢出。英特爾的審計發(fā)現(xiàn)ME固件，TXE和SPS中的AMT中還存在其他幾個高嚴重性緩沖區(qū)溢出。

它發(fā)現(xiàn)的一個缺陷是允許遠程攻擊者在擁有Admin訪問權(quán)限時執(zhí)行任意代碼。