® Pembaruan Firmware Kritis Intel Management Engine (Intel-SA-00086)

® Kerentanan Intel Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x),® Intel Trusted Execution Engine (Intel® TXE 3.0), dan Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

Menanggapi masalah yang diidentifikasi oleh peneliti eksternal, Intel telah melakukan tinjauan keamanan komprehensif yang mendalam tentang hal-hal berikut dengan tujuan meningkatkan ketahanan firmware:

• Mesin Manajemen Intel® (Intel® ME)
• ® Intel Trusted Execution Engine (Intel® TXE)
• Layanan Platform Server Intel® (SPS)

Intel telah mengidentifikasi kerentanan keamanan yang berpotensi memengaruhi PC, server, dan platform IoT tertentu.

Sistem yang menggunakan Intel ME Firmware versi 6.x-11.x, server yang menggunakan SPS Firmware versi 4.0, dan sistem yang menggunakan TXE versi 3.0 terpengaruh. Anda dapat menemukan versi firmware ini pada prosesor tertentu dari:

• Keluarga Prosesor Intel Core™ generasi® ke-1, ke-2, ke-3, ke-4, ke-5, ke-6, ke-7, dan ke-8
• Rangkaian Produk Prosesor Intel® Xeon® E3-1200 v5 dan v6
• Rangkaian Prosesor Intel® Xeon® yang Dapat Diskalakan
• Prosesor Intel® Xeon® W
• Rangkaian Prosesor Intel Atom® C3000
• Prosesor Apollo Lake Intel Atom® seri E3900
• Prosesor Apollo Lake Intel® Pentium®
• Prosesor Intel® Pentium® Seri G
• Prosesor Intel® Celeron® seri G, N, dan J

Untuk menentukan apakah kerentanan yang teridentifikasi memengaruhi sistem Anda, unduh dan jalankan alat Deteksi Versi Intel CSME menggunakan tautan di bawah ini.

Bagian Pertanyaan yang Sering Diajukan

Sumber daya yang tersedia

• Saran keamanan resmi Intel: Detail teknis tentang kerentanan

Sumber daya untuk pengguna Microsoft dan Linux*

• Alat Deteksi Versi Intel CSME

Sumber daya dari produsen sistem/motherboard

• ASRock: Informasi Dukungan
• ASUS: Informasi Dukungan
• Compulab: Informasi Dukungan
• Klien Dell: Informasi Dukungan
• Fujitsu: Informasi Dukungan
• GIGABYTE: Informasi Dukungan
• Server HPE: Informasi Dukungan
• Intel® NUC dan Intel® Compute Stick: Informasi Dukungan
• Server Intel®: Informasi Dukungan
• Lenovo: Informasi Dukungan
• Oracle: Informasi Dukungan
• Quanta/QCT: Informasi Dukungan
• Siemens: Informasi Dukungan
• Supermicro: Informasi Dukungan
• Vaio: Informasi Dukungan

Pertanyaan yang sering diajukan:

T: Alat Deteksi Versi Intel CSME melaporkan bahwa sistem saya rentan. Apa yang harus saya lakukan?
J: Intel telah menyediakan pembaruan firmware dan perangkat lunak yang diperlukan kepada produsen sistem dan motherboard untuk mengatasi kerentanan yang diidentifikasi dalam Penasihat Keamanan Intel-SA-00086.

Hubungi produsen sistem atau motherboard Anda mengenai rencana mereka untuk menyediakan pembaruan bagi pengguna akhir.

Beberapa produsen telah menyediakan Intel dengan tautan langsung bagi pelanggan mereka untuk mendapatkan informasi tambahan dan pembaruan perangkat lunak yang tersedia (Lihat daftar di bawah ini).

T: Mengapa saya perlu menghubungi produsen sistem atau motherboard saya? Mengapa Intel tidak dapat memberikan pembaruan yang diperlukan untuk sistem saya?
J: Intel tidak dapat memberikan pembaruan generik karena penyesuaian firmware mesin manajemen yang dilakukan oleh produsen sistem dan motherboard.

T: Sistem saya dilaporkan sebagai Rentan oleh Alat Deteksi Versi Intel CSME. Apa yang harus saya lakukan?
J: Status mungkin Rentan biasanya terlihat ketika salah satu driver berikut tidak diinstal:

• Driver Intel® Management Engine Interface (Intel® MEI)

• Driver Intel® Trusted Execution Engine Interface (Intel® TXEI)

Hubungi produsen sistem atau motherboard Anda untuk mendapatkan driver yang tepat untuk sistem Anda.

T: Sistem atau produsen motherboard saya tidak ditampilkan dalam daftar Anda. Apa yang harus saya lakukan?
J: Daftar di bawah ini menunjukkan tautan dari produsen sistem atau motherboard yang telah memberikan informasi kepada Intel. Jika pabrikan Anda tidak ditampilkan, hubungi mereka menggunakan mekanisme dukungan standar mereka (situs web, telepon, email, dan sebagainya) untuk mendapatkan bantuan.

T: Jenis akses apa yang diperlukan penyerang untuk mengeksploitasi kerentanan yang teridentifikasi?
J: Jika produsen peralatan mengaktifkan perlindungan tulis Flash Descriptor yang direkomendasikan Intel, penyerang memerlukan akses fisik ke flash firmware platform untuk mengeksploitasi kerentanan yang diidentifikasi dalam:

• CVE-2017-5705
• CVE-2017-5706
• CVE-2017-5707
• CVE-2017-5708
• CVE-2017-5709
• CVE-2017-5710
• CVE-2017-5711

Akhir manufaktur

Penyerang mendapatkan akses fisik dengan memperbarui platform secara manual dengan gambar firmware berbahaya melalui pemrogram flash yang terhubung secara fisik ke memori flash platform. Perlindungan tulis Flash Descriptor adalah pengaturan platform yang biasanya ditetapkan pada akhir manufaktur. Perlindungan tulis Flash Descriptor melindungi pengaturan pada Flash agar tidak diubah secara jahat atau tidak sengaja setelah pembuatan selesai.

Jika produsen peralatan tidak mengaktifkan perlindungan tulis Flash Descriptor yang direkomendasikan Intel, penyerang memerlukan akses kernel Operasi (akses logis, Cincin Sistem Operasi 0). Penyerang memerlukan akses ini untuk mengeksploitasi kerentanan yang teridentifikasi dengan menerapkan gambar firmware berbahaya ke platform melalui driver platform berbahaya.

Kerentanan yang diidentifikasi dalam CVE-2017-5712 dapat dieksploitasi dari jarak jauh melalui jaringan bersama dengan kredensial Intel Management Engine administratif® yang valid. Kerentanan tidak dapat dieksploitasi jika kredensial administratif yang valid tidak tersedia.

Jika Anda memerlukan bantuan lebih lanjut, hubungi Dukungan Pelanggan Intel untuk mengirimkan permintaan layanan online.