2. Cikkek
  3. Biztonság

Így javítsd ki a súlyos processzorhibákat!

Gyakorlati útmutató ahhoz, hogy a közelmúltban feltárt, processzorokkal kapcsolatos sérülékenységeket milyen módon lehet biztonságosan befoltozni.

Intel Management Engine hibajavítása

Az Intel Management Engine (IME) INTEL-SA-00086 hibája szintén érinti az összes utóbbi 10 évben megjelent Intel processzorral szerelt számítógépet, amennyiben az IME engedélyezve van. Ha az Intel Management Engine ki van kapcsolva, akkor is érdemes a frissítést elvégezni. Tapasztalatok szerint a frissítés vagy külön telepíthető firmware frissítésként, vagy a BIOS frissítés részeként érhető el. Az Intel támogatási cikke a hibáról.

A megtalált hibák:

  • CVE-2017-5705 – Multiple buffer overflows in kernel in Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 allow attacker with local access to the system to execute arbitrary code
  • CVE-2017-5706 – Multiple buffer overflows in kernel in Intel Server Platform Services Firmware 4.0 allow attacker with local access to the system to execute arbitrary code
  • CVE-2017-5707 – Multiple buffer overflows in kernel in Intel Trusted Execution Engine Firmware 3.0 allow attacker with local access to the system to execute arbitrary code
  • CVE-2017-5708 – Multiple privilege escalations in kernel in Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 allow unauthorized process to access privileged content via unspecified vector
  • CVE-2017-5709 - Multiple privilege escalations in kernel in Intel Server Platform Services Firmware 4.0 allows unauthorized process to access privileged content via unspecified vector
  • CVE-2017-5710 – Multiple privilege escalations in kernel in Intel Trusted Execution Engine Firmware 3.0 allows unauthorized process to access privileged content via unspecified vector
  • CVE-2017-5711 – Multiple buffer overflows in Active Management Technology (AMT) in Intel Manageability Engine Firmware 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 allow attacker with local access to the system to execute arbitrary code with AMT execution privilege
  • CVE-2017-5712 – Buffer overflow in Active Management Technology (AMT) in Intel Manageability Engine Firmware 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 allows attacker with remote Admin access to the system to execute arbitrary code with AMT execution privilege.

A CVE-2017-5712 hiba távolról is kihasználható, de csak hitelesítés után, magasabb jogosultságokat lehet elérni a sérülékenység által. Mivel azonban a legtöbb helyen alapértelmezett jelszót használnak az IME számára, így ez a hiba jó eséllyel kihasználható a rossz szándékú támadó számára. A többi hiba kihasználásához fizikai hozzáférés kell a géphez, állítja az Intel közleménye.

A hibákban érintett Intel processzorok listája:

  • Intel Core i3 processzorok (45nm és 32nm)
  • Intel Core i5 processzorok (45nm és 32nm)
  • Intel Core i7 processzorok (45nm és 32nm)
  • Intel Core M processzorok család (45nm és 32nm)
  • 2. generációs Intel Core processzorok
  • 3. generációs Intel Core processzorok
  • 4. generációs Intel Core processzorok
  • 5. generációs Intel Core processzorok
  • 6. generációs Intel Core processzorok
  • 7. generációs Intel Core processzorok
  • 8. generációs Intel Core processzorok
  • Intel Core X-sorozat processzorok család for Intel X99 platforms
  • Intel Core X-sorozat processzorok család for Intel X299 platforms
  • Intel Xeon processzorok 3400 sorozat
  • Intel Xeon processzorok 3600 sorozat
  • Intel Xeon processzorok 5500 sorozat
  • Intel Xeon processzorok 5600 sorozat
  • Intel Xeon processzorok 6500 sorozat
  • Intel Xeon processzorok 7500 sorozat
  • Intel Xeon processzorok E3 család
  • Intel Xeon processzorok E3 v2 család
  • Intel Xeon processzorok E3 v3 család
  • Intel Xeon processzorok E3 v4 család
  • Intel Xeon processzorok E3 v5 család
  • Intel Xeon processzorok E3 v6 család
  • Intel Xeon processzorok E5 család
  • Intel Xeon processzorok E5 v2 család
  • Intel Xeon processzorok E5 v3 család
  • Intel Xeon processzorok E5 v4 család
  • Intel Xeon processzorok E7 család
  • Intel Xeon processzorok E7 v2 család
  • Intel Xeon processzorok E7 v3 család
  • Intel Xeon processzorok E7 v4 család
  • Intel Xeon processzorok Scalable család
  • Intel Xeon Phi processzorok 3200, 5200, 7200 sorozat
  • Intel Atom processzorok C sorozat
  • Intel Atom processzorok E sorozat
  • Intel Atom processzorok A sorozat
  • Intel Atom processzorok x3 sorozat
  • Intel Atom processzorok Z sorozat
  • Intel Celeron processzorok J sorozat
  • Intel Celeron processzorok N sorozat
  • Intel Pentium processzorok J sorozat
  • Intel Pentium processzorok N sorozat

Az Intel elérhetővé tett Linux és Windows alatt is futtatható teszteszközöket:

  • Linux (MD5: c0f1aae6211302ed2c36c7655aa02642)
  • Windows (7/8.1/10/Server 2012) (MD5: e8ce8e1556eab9548475b7e06692f748)

Mindig ellenőrizzük a letöltött fájl sértetlenségét, és amennyiben a szükséges szakértelem rendelkezésre áll, a nem a megbízható tárolóból származó elindítandó kódot is.

Az ellenőrzéshez nem kell mást tenni, mint az operációs rendszernek megfelelő programokat letölteni, majd elindítani, és a kapott eredményt kiértékelni.

Ellenőrzés Linux operációs rendszeren

Linux esetén indítsuk el a „SA00086_Linux” mappában található „intel_sa00086.py” programot rendszergazdaként, például:

sudo ./intel_sa00086.py

Sérülékeny rendszer esetén a parancs kimenete ilyesmi lesz:

Intel
[+]

INTEL-SA-00086 Detection Tool

Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128

Scan date: 2018-01-17 07:04:20 GMT

*** Host Computer Information ***

Name: Godzilla

Manufacturer: Dell Inc.

Model: Latitude E6440

Processor Name: Intel(R) Core(TM) i7-4700MQ CPU

@ 2.40GHz

OS Version: LinuxMint 18.3 sylvia

(4.13.0-26-generic)

*** Risk Assessment ***

Based on the analysis performed by this tool: This system is vulnerable.

For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

A hiba a a Risk Assessment alatti sorban jelenik meg: „Based on the analysis performed by this tool: This system is vulnerable.” Ha nem rendszergazdai jogosultsággal futtatjuk a programot az alábbi kimenet lesz látható:

Detection Error: This system may be vulnerable.

Ilyenkor rendszergazdai jogosultsággal indítsuk el a programot.

Ellenőrzés Windows operációs rendszeren

Windows esetén indítsuk el a „SA00086_Windows\DiscoveryTool.GUI” mappából a „Intel-SA-00086-GUI.exe” programot.

Sérülékeny rendszer esetén a parancs kimenete ilyesmi lesz:

A hiba ebben a Risk Assessment alatti sorban jelenik meg: „Based on the analysis performed by this tool: This system is vulnerable.

A hiba elhárítása

Az Intel Managemenet Engine INTEL-SA-00086 ellenőrző eszközei kiírják a rendszerrel kapcsolatos legfontosabb információkat, így megtutdhatuk hogy a további frissítéseket melyik cégtől kell letölteni. A példában bemutatott eszközt a Lenovo készítette, így a Lenovo cég honlapját kell felkeresni a Intel Managemenet Engine INTEL-SA-00086 hibajavításokért.

A gyártók többségénél a számítógép BIOS frissítésével, azaz a legfrissebb BIOS telepítésével megoldható a probléma. Viszont vannak olyan gyártók, amelyek külön firmware frissítést adtak ki az IME sebezhetőség javítására (például: Lenovo: a Lenovo estében ez egy Windowson futó frissítőeszköz, amelyet csak el kell indítani. A BIOS frissítése és a Management Engine frissítése során figyeljünk arra, hogy a gépet ne kapcsoljuk ki, ne indítsuk újra, és számítógép megbízható, szünetmentes tápellátással rendelkezzen. Ha laptopról van szó, az legyen feltöltve és a villamos hálózathoz csatlakoztatva. Amennyiben Windows alatt használjuk a számítógépet, a teljes megoldáshoz mindenképpen frissítsük a Management Engine windowsos illesztőprogramját (ME Driver vagy Intel Management Engine Components Installer) is!

Példa a Management Engine külön frissítésére egy Lenovo számítógép esetén:

Lenovo
[+]

A hiba javítva?

Ha sikeresen javítottuk a hibát, a számítógép újraindítása után futassuk le ismét az ellenőrző eszközöket:

Linux esetén az alábbi kimenet jelzi a megfelelő állapotot:

Megfelelő
[+]

INTEL-SA-00086 Detection Tool

Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.128

Scan date: 2018-01-17 07:04:28 GMT

*** Host Computer Information ***

Name: Godzilla

Manufacturer: Dell Inc.

Model: Latitude E6440

Processor Name: Intel(R) Core(TM) i7-4700MQ CPU

@ 2.40GHz

OS Version: LinuxMint 18.3 sylvia

(4.13.0-26-generic)

*** Intel(R) ME Information ***

Engine: Intel(R) Management Engine

Version: 9.1.42.3002

SVN: 0

*** Risk Assessment ***

Based on the analysis performed by this tool: This system is not vulnerable.

For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Megfelelő az állapot, ha a Risk Assessment alatti sorban ez jelenik meg: „Based on the analysis performed by this tool: This system is not vulnerable.

Windows esetén az alábbi kimenetet jelzi a megfelelő állapotot:

Megfelelő az állapot, ha a Risk Assessment alatti sorban jelenik meg: „Based on the analysis performed by this tool: This system is not vulnerable. It has been already patched.

Ha sikerült a javítás, akkor a rendszer immár immunis az Intel Managemenet Engine INTEL-SA-00086hibákkal szemben.

Beszélgetnél erről a hibáról, vagy a szabad szoftverekről? Látogasd meg a Magyar Szabad Szoftver Közösség Facebook csoportot!

9. Intel Management Engine hibajavítása
1. Bevezető és hibaleírás 2. A processzorgyártók érintettsége és reakciói 3. Ellenőrzési módok 4. Linux operációs rendszer frissítése 5. Windows operációs rendszer frissítése 6. Ha nem menne a frissítés vagy hibát tapasztalunk 7. BIOS frissítés 8. Ellenőrzések és egyéb érintett rendszerek 9. Intel Management Engine hibajavítása

Azóta történt

Előzmények