Pembaruan Firmware Kritis Intel® Management Engine (Intel-SA-00086)

Intel® Management Engine (Intel® ME kerentanan ( 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0), dan Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

Menanggapi masalah yang diidentifikasi oleh peneliti eksternal, Intel telah melakukan tinjauan keamanan komprehensif yang mendalam tentang hal-hal berikut dengan tujuan meningkatkan ketahanan firmware:

• Intel® Management Engine (Intel® ME)
• Intel® Trusted Execution Engine (Intel® TXE)
• Intel® Server Platform Services (SPS)

Intel telah mengidentifikasi kerentanan keamanan yang berpotensi berdampak pada PC, server, dan platform IoT tertentu.

Sistem yang menggunakan Firmware Intel ME versi 6.x-11.x, server yang menggunakan Firmware SPS versi 4.0, dan sistem yang menggunakan TXE versi 3.0 akan terpengaruh. Anda dapat menemukan versi firmware ini pada prosesor tertentu dari:

• Rangkaian Prosesor Intel® Core™ generasi ke-1, ke-2, ke-3, ke-4, ke-5, ke-6, ke-7, dan ke-8
• Rangkaian Produk Prosesor Intel® Xeon® E3-1200 v5 dan v6
• Rangkaian Prosesor Intel® Xeon® yang Dapat Diskalakan
• Prosesor Intel® Xeon® W
• Rangkaian Prosesor Intel Atom® C3000
• Prosesor Apollo Lake Intel Atom® seri E3900
• Prosesor Pentium® Intel® Apollo Lake
• Prosesor Intel® Pentium® Seri G
• Prosesor Intel® seri Celeron® G, N, dan J

Untuk menentukan apakah kerentanan yang diidentifikasi berdampak pada sistem Anda, unduh dan jalankan alat Deteksi Versi Intel CSME menggunakan tautan di bawah ini.

Bagian Pertanyaan yang Sering Diajukan

Sumber daya yang tersedia

• Penasihat keamanan resmi Intel: Detail teknis tentang kerentanan

Sumber daya untuk pengguna Microsoft dan Linux*

• Alat Deteksi Versi Intel CSME

Sumber daya dari produsen sistem/papan induk

• ASRock: Informasi Dukungan
• ASUS: Informasi Dukungan
• Compulab: Informasi Dukungan
• Klien Dell: Informasi Dukungan
• Dell Server: Informasi Dukungan
• Fujitsu: Informasi Dukungan
• GIGABYTE: Informasi Dukungan
• HP Inc.: Informasi Dukungan
• Server HPE: Informasi Dukungan
• Intel® NUC dan Intel® Compute Stick: Informasi Dukungan
• Server Intel®: Informasi Dukungan
• Lenovo: Informasi Dukungan
• Microsoft Surface*: Informasi Dukungan
• NEC: Informasi Dukungan
• Oracle: Informasi Dukungan
• Panasonic: Informasi Pendukung
• Quanta/QCT: Informasi Pendukung
• Siemens: Informasi Dukungan
• Supermicro: Informasi Dukungan
• Toshiba: Informasi Pendukung
• Vaio: Informasi Dukungan

Pertanyaan yang sering diajukan:

T: Alat Deteksi Versi Intel CSME melaporkan bahwa sistem saya rentan. Apa yang harus saya lakukan?
J: Intel telah menyediakan pembaruan firmware dan perangkat lunak yang diperlukan bagi produsen sistem dan papan induk untuk mengatasi kerentanan yang diidentifikasi dalam Penasihat Keamanan Intel-SA-00086.

Hubungi produsen sistem atau papan induk Anda mengenai rencana mereka untuk menyediakan pembaruan bagi pengguna akhir.

Beberapa produsen telah memberikan tautan langsung kepada Intel bagi pelanggan mereka untuk mendapatkan informasi tambahan dan pembaruan perangkat lunak yang tersedia (Lihat daftar di bawah).

T: Mengapa saya perlu menghubungi produsen sistem atau papan induk saya? Mengapa Intel tidak dapat memberikan pembaruan yang diperlukan untuk sistem saya?
J: Intel tidak dapat memberikan pembaruan generik karena kustomisasi firmware mesin manajemen yang dilakukan oleh produsen motherboard dan sistem.

T: Sistem saya dilaporkan sebagai Mungkin Rentan oleh Alat Deteksi Versi Intel CSME. Apa yang harus saya lakukan?
J : Status mungkin Rentan biasanya terlihat ketika salah satu driver berikut tidak diinstal:

• Intel® Management Engine Interface (Intel® MEI) pengemudi

• Intel® Trusted Execution Engine Interface (Intel® TXEI) driver

Hubungi produsen sistem atau papan induk Anda untuk mendapatkan driver yang tepat untuk sistem Anda.

T: Produsen sistem atau papan induk saya tidak ditampilkan dalam daftar Anda. Apa yang harus saya lakukan?
J: Daftar di bawah ini menunjukkan tautan dari produsen motherboard atau sistem yang telah memberikan informasi kepada Intel. Jika produsen Anda tidak ditampilkan, hubungi mereka menggunakan mekanisme dukungan standar mereka (situs web, telepon, email, dan sebagainya) untuk mendapatkan bantuan.

T: Jenis akses apa yang dibutuhkan penyerang untuk mengeksploitasi kerentanan yang teridentifikasi?
J : Jika produsen peralatan mengaktifkan proteksi penulisan Flash Descriptor yang direkomendasikan Intel, penyerang memerlukan akses fisik ke flash firmware platform untuk mengeksploitasi kerentanan yang diidentifikasi dalam:

• CVE-2017-5705
• CVE-2017-5706
• CVE-2017-5707
• CVE-2017-5708
• CVE-2017-5709
• CVE-2017-5710
• CVE-2017-5711

Akhir produksi

Penyerang mendapatkan akses fisik dengan memperbarui platform secara manual dengan citra firmware berbahaya melalui pemrogram flash yang terhubung secara fisik ke memori flash platform. Perlindungan penulisan Flash Descriptor adalah pengaturan platform yang biasanya ditetapkan pada akhir pembuatan. Perlindungan-penulisan Flash Descriptor melindungi pengaturan pada Flash agar tidak diubah secara jahat atau tidak sengaja setelah pembuatan selesai.

Jika produsen peralatan tidak mengaktifkan proteksi penulisan Flash Descriptor yang direkomendasikan Intel, penyerang perlu mengakses kernel Operasi (akses logis, Ring Sistem Operasi 0). Penyerang memerlukan akses ini untuk mengeksploitasi kerentanan yang diidentifikasi dengan menerapkan citra firmware berbahaya ke platform melalui driver platform berbahaya.

Kerentanan yang diidentifikasi dalam CVE-2017-5712 dapat dieksploitasi dari jarak jauh melalui jaringan bersama dengan kredensial Intel® Management Engine administratif yang valid. Kerentanan tidak dapat dieksploitasi jika kredensial administratif yang valid tidak tersedia.

Jika Anda memerlukan bantuan lebih lanjut, hubungi Intel Customer Support untuk mengirimkan permintaan layanan online.