Intel Management Engine hibajavítása
Az Intel Management Engine (IME) INTEL-SA-00086 hibája szintén érinti az összes utóbbi 10 évben megjelent Intel processzorral szerelt számítógépet, amennyiben az IME engedélyezve van. Ha az Intel Management Engine ki van kapcsolva, akkor is érdemes a frissítést elvégezni. Tapasztalatok szerint a frissítés vagy külön telepíthető firmware frissítésként, vagy a BIOS frissítés részeként érhető el. Az Intel támogatási cikke a hibáról.
A megtalált hibák:
- CVE-2017-5705 – Multiple buffer overflows in kernel in Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 allow attacker with local access to the system to execute arbitrary code
- CVE-2017-5706 – Multiple buffer overflows in kernel in Intel Server Platform Services Firmware 4.0 allow attacker with local access to the system to execute arbitrary code
- CVE-2017-5707 – Multiple buffer overflows in kernel in Intel Trusted Execution Engine Firmware 3.0 allow attacker with local access to the system to execute arbitrary code
- CVE-2017-5708 – Multiple privilege escalations in kernel in Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 allow unauthorized process to access privileged content via unspecified vector
- CVE-2017-5709 - Multiple privilege escalations in kernel in Intel Server Platform Services Firmware 4.0 allows unauthorized process to access privileged content via unspecified vector
- CVE-2017-5710 – Multiple privilege escalations in kernel in Intel Trusted Execution Engine Firmware 3.0 allows unauthorized process to access privileged content via unspecified vector
- CVE-2017-5711 – Multiple buffer overflows in Active Management Technology (AMT) in Intel Manageability Engine Firmware 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 allow attacker with local access to the system to execute arbitrary code with AMT execution privilege
- CVE-2017-5712 – Buffer overflow in Active Management Technology (AMT) in Intel Manageability Engine Firmware 8.x/9.x/10.x/11.0/11.5/11.6/11.7/11.10/11.20 allows attacker with remote Admin access to the system to execute arbitrary code with AMT execution privilege.
A CVE-2017-5712 hiba távolról is kihasználható, de csak hitelesítés után, magasabb jogosultságokat lehet elérni a sérülékenység által. Mivel azonban a legtöbb helyen alapértelmezett jelszót használnak az IME számára, így ez a hiba jó eséllyel kihasználható a rossz szándékú támadó számára. A többi hiba kihasználásához fizikai hozzáférés kell a géphez, állítja az Intel közleménye.
A hibákban érintett Intel processzorok listája:
- Intel Core i3 processzorok (45nm és 32nm)
- Intel Core i5 processzorok (45nm és 32nm)
- Intel Core i7 processzorok (45nm és 32nm)
- Intel Core M processzorok család (45nm és 32nm)
- 2. generációs Intel Core processzorok
- 3. generációs Intel Core processzorok
- 4. generációs Intel Core processzorok
- 5. generációs Intel Core processzorok
- 6. generációs Intel Core processzorok
- 7. generációs Intel Core processzorok
- 8. generációs Intel Core processzorok
- Intel Core X-sorozat processzorok család for Intel X99 platforms
- Intel Core X-sorozat processzorok család for Intel X299 platforms
- Intel Xeon processzorok 3400 sorozat
- Intel Xeon processzorok 3600 sorozat
- Intel Xeon processzorok 5500 sorozat
- Intel Xeon processzorok 5600 sorozat
- Intel Xeon processzorok 6500 sorozat
- Intel Xeon processzorok 7500 sorozat
- Intel Xeon processzorok E3 család
- Intel Xeon processzorok E3 v2 család
- Intel Xeon processzorok E3 v3 család
- Intel Xeon processzorok E3 v4 család
- Intel Xeon processzorok E3 v5 család
- Intel Xeon processzorok E3 v6 család
- Intel Xeon processzorok E5 család
- Intel Xeon processzorok E5 v2 család
- Intel Xeon processzorok E5 v3 család
- Intel Xeon processzorok E5 v4 család
- Intel Xeon processzorok E7 család
- Intel Xeon processzorok E7 v2 család
- Intel Xeon processzorok E7 v3 család
- Intel Xeon processzorok E7 v4 család
- Intel Xeon processzorok Scalable család
- Intel Xeon Phi processzorok 3200, 5200, 7200 sorozat
- Intel Atom processzorok C sorozat
- Intel Atom processzorok E sorozat
- Intel Atom processzorok A sorozat
- Intel Atom processzorok x3 sorozat
- Intel Atom processzorok Z sorozat
- Intel Celeron processzorok J sorozat
- Intel Celeron processzorok N sorozat
- Intel Pentium processzorok J sorozat
- Intel Pentium processzorok N sorozat
Az Intel elérhetővé tett Linux és Windows alatt is futtatható teszteszközöket:
- Linux (MD5: c0f1aae6211302ed2c36c7655aa02642)
- Windows (7/8.1/10/Server 2012) (MD5: e8ce8e1556eab9548475b7e06692f748)
Mindig ellenőrizzük a letöltött fájl sértetlenségét, és amennyiben a szükséges szakértelem rendelkezésre áll, a nem a megbízható tárolóból származó elindítandó kódot is.
Az ellenőrzéshez nem kell mást tenni, mint az operációs rendszernek megfelelő programokat letölteni, majd elindítani, és a kapott eredményt kiértékelni.
Ellenőrzés Linux operációs rendszeren
Linux esetén indítsuk el a „SA00086_Linux” mappában található „intel_sa00086.py” programot rendszergazdaként, például:
sudo ./intel_sa00086.py
Sérülékeny rendszer esetén a parancs kimenete ilyesmi lesz:
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved
Application Version: 1.0.0.128
Scan date: 2018-01-17 07:04:20 GMT
*** Host Computer Information ***
Name: Godzilla
Manufacturer: Dell Inc.
Model: Latitude E6440
Processor Name: Intel(R) Core(TM) i7-4700MQ CPU
@ 2.40GHz
OS Version: LinuxMint 18.3 sylvia
(4.13.0-26-generic)
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
A hiba a a Risk Assessment alatti sorban jelenik meg: „Based on the analysis performed by this tool: This system is vulnerable.” Ha nem rendszergazdai jogosultsággal futtatjuk a programot az alábbi kimenet lesz látható:
„Detection Error: This system may be vulnerable.”
Ilyenkor rendszergazdai jogosultsággal indítsuk el a programot.
Ellenőrzés Windows operációs rendszeren
Windows esetén indítsuk el a „SA00086_Windows\DiscoveryTool.GUI” mappából a „Intel-SA-00086-GUI.exe” programot.
Sérülékeny rendszer esetén a parancs kimenete ilyesmi lesz:
A hiba ebben a Risk Assessment alatti sorban jelenik meg: „Based on the analysis performed by this tool: This system is vulnerable.”
A hiba elhárítása
Az Intel Managemenet Engine INTEL-SA-00086 ellenőrző eszközei kiírják a rendszerrel kapcsolatos legfontosabb információkat, így megtutdhatuk hogy a további frissítéseket melyik cégtől kell letölteni. A példában bemutatott eszközt a Lenovo készítette, így a Lenovo cég honlapját kell felkeresni a Intel Managemenet Engine INTEL-SA-00086 hibajavításokért.
- Acer: Támogatási információk)
- ASRock: Támogatási információk
- ASUS: Támogatási információk
- Compulab: Támogatási információk
- Dell Client: Támogatási információk
- Dell Server: Támogatási információk
- Fujitsu: Támogatási információk
- Getac: Támogatási információk
- GIGABYTE: Támogatási információk
- HP Inc.: Támogatási információk
- HPE Servers: Támogatási információk
- Intel NUC, Intel Compute Stick, és Intel Compute Card: Támogatási információk
- Intel Servers: Támogatási információk
- Lenovo: Támogatási információk
- Microsoft Surface: Támogatási információk
- MSI: Támogatási információk
- NEC: Támogatási információk
- Oracle: Támogatási információk
- Panasonic: Támogatási információk
- Quanta/QCT: Támogatási információk
- Supermicro: Támogatási információk
- Toshiba: Támogatási információk
- Vaio: Támogatási információk
- Wiwynn: Támogatási információk
A gyártók többségénél a számítógép BIOS frissítésével, azaz a legfrissebb BIOS telepítésével megoldható a probléma. Viszont vannak olyan gyártók, amelyek külön firmware frissítést adtak ki az IME sebezhetőség javítására (például: Lenovo: a Lenovo estében ez egy Windowson futó frissítőeszköz, amelyet csak el kell indítani. A BIOS frissítése és a Management Engine frissítése során figyeljünk arra, hogy a gépet ne kapcsoljuk ki, ne indítsuk újra, és számítógép megbízható, szünetmentes tápellátással rendelkezzen. Ha laptopról van szó, az legyen feltöltve és a villamos hálózathoz csatlakoztatva. Amennyiben Windows alatt használjuk a számítógépet, a teljes megoldáshoz mindenképpen frissítsük a Management Engine windowsos illesztőprogramját (ME Driver vagy Intel Management Engine Components Installer) is!
Példa a Management Engine külön frissítésére egy Lenovo számítógép esetén:
A hiba javítva?
Ha sikeresen javítottuk a hibát, a számítógép újraindítása után futassuk le ismét az ellenőrző eszközöket:
Linux esetén az alábbi kimenet jelzi a megfelelő állapotot:
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved
Application Version: 1.0.0.128
Scan date: 2018-01-17 07:04:28 GMT
*** Host Computer Information ***
Name: Godzilla
Manufacturer: Dell Inc.
Model: Latitude E6440
Processor Name: Intel(R) Core(TM) i7-4700MQ CPU
@ 2.40GHz
OS Version: LinuxMint 18.3 sylvia
(4.13.0-26-generic)
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 9.1.42.3002
SVN: 0
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable.
For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
Megfelelő az állapot, ha a Risk Assessment alatti sorban ez jelenik meg: „Based on the analysis performed by this tool: This system is not vulnerable.”
Windows esetén az alábbi kimenetet jelzi a megfelelő állapotot:
Megfelelő az állapot, ha a Risk Assessment alatti sorban jelenik meg: „Based on the analysis performed by this tool: This system is not vulnerable. It has been already patched.”
Ha sikerült a javítás, akkor a rendszer immár immunis az Intel Managemenet Engine INTEL-SA-00086hibákkal szemben.
Beszélgetnél erről a hibáról, vagy a szabad szoftverekről? Látogasd meg a Magyar Szabad Szoftver Közösség Facebook csoportot!