2010年推出的帶有英特爾服務器芯片組的個人電腦可以被遠程黑客攻擊
在過去七年(而不是十年)隨英特爾處理器提供的計算機上的遠程管理功能中發現了一個嚴重漏洞,攻擊者可以通過該漏洞遠程控制計算機,影響所有啟用AMT功能的英特爾系統,包括PC、筆記本電腦和服務器。
如前所述,該關鍵漏洞(CVE-2017-5689)不是遠程代碼執行,而是Malyutin向黑客新聞證實,這是一個邏輯漏洞,也讓遠程攻擊者有機會使用其他策略利用該漏洞進行攻擊。
根據英特爾周一發布的一份公告,這種特權漏洞的提升存在于英特爾管理引擎(ME)技術中,如主動管理技術(AMT)、小企業技術(SBT)和英特爾標準可管理性(ISM)。
這些遠程管理功能允許系統管理員通過網絡(通過端口16992或16993)遠程管理組織或企業中的大型計算機組。
由于這些功能僅存在于企業解決方案中,且主要存在于服務器芯片組中,英特爾聲稱該漏洞不會影響基于英特爾的消費PC上運行的芯片。
但Malyutin告訴我們,“基于英特爾的消費者PC,如果獲得英特爾vPro的官方支持(并啟用了英特爾AMT功能),也可能面臨風險,”而且“在沒有英特爾AMT官方支持的情況下,也有可能對英特爾系統進行攻擊。”
根據英特爾咨詢公司的說法,可以通過兩種方式利用該漏洞:
- 未經授權的網絡攻擊者可以獲得系統權限,以配置英特爾可管理性SKU:英特爾AMT和ISM。然而,英特爾SBT不易受到此問題的影響。
- 未經授權的本地攻擊者可以配置可管理性功能,從而在英特爾可管理性SKU(英特爾AMT、ISM和SBT)上獲得未經授權的網絡或本地系統權限。
這個漏洞有多嚴重
簡而言之,潛在的攻擊者可以登錄易受攻擊的機器硬件,并使用AMT的功能悄悄地執行惡意活動,如篡改機器、安裝幾乎無法檢測到的惡意軟件。
PC的操作系統永遠不知道發生了什么,因為AMT可以直接訪問計算機的網絡硬件。啟用AMT后,發送到PC有線網絡端口的任何數據包都將重定向到管理引擎,并傳遞到AMT–;操作系統從未看到這些數據包。
從支持vPro的5系列芯片組開始,近七年來,這些不安全的管理功能已在各種(但不是全部)英特爾芯片組中提供。
“受此漏洞影響的系統是2010-2011年(而不是2008年,正如一些評論中提到的那樣),因為英特爾可管理性固件6.0及以上版本不早于2010年發布,”Embedi的簡短帖子說。
“在沒有英特爾AMT支持的情況下,也有可能在英特爾系統上執行攻擊。”
幸運的是,這些管理引擎功能都不是默認啟用的,系統管理員必須首先在其本地網絡上啟用這些服務。所以,基本上,如果你使用的是一臺啟用了ME功能的計算機,你就有風險。
盡管使用了英特爾芯片,但現代蘋果Mac電腦并未附帶AMT軟件,因此不受該缺陷的影響。
受影響的固件版本&如何修補
該安全漏洞會影響英特爾可管理性固件版本6。x、 七,。x、 八,。x9。x、 十,。x、 11.0、11.5和11.6,用于英特爾的AMT、ISM和SBT平臺。但是,6之前或11.6之后的版本不受影響。
英特爾已將該漏洞評定為高度嚴重漏洞,并發布了新的固件版本、用于檢測任何工作站是否運行AMT、ISM或SBT的說明、用于檢查系統是否存在漏洞的檢測指南,以及針對無法立即安裝更新的組織的緩解指南。
該芯片制造商建議易受攻擊的客戶盡快安裝固件補丁。
CoreOS安全工程師馬修·加勒特(Matthew Garrett)在博客中解釋說:“修復這一問題需要系統固件更新,以提供新的ME[管理引擎]固件(包括AMT代碼的更新副本)。許多受影響的機器不再從其制造商處接收固件更新,因此可能永遠無法得到修復。”郵遞“任何在其中一臺設備上啟用AMT的人都會受到攻擊。”
“這忽略了一個事實,即固件更新很少被標記為安全關鍵(它們通常不通過Windows Update提供),因此即使更新可用,用戶也可能不知道或安裝它們。
