英特尔ME、SPS、TXE等固件中存在漏洞

发布时间：2017-11-23文章来源：freebuf作者：发布人：wlaq 浏览次数：892

英特尔今天承认旗下管理引擎(ME)、服务器平台服务(SPS)和信任执行引擎(TXE)存在多个安全漏洞。

这几个固件级漏洞能让登录的管理员以及恶意或劫持的高权限进程运行操作系统下的代码，并且不会被管理员或其他用户察觉。网络管理员或者伪装成管理员的黑客都可以利用这些漏洞远程感染主机。

与此同时，登录用户、恶意程序或者被劫持的应用程序可以利用这些漏洞从计算机的内存中提取机密和受保护的信息，泄露敏感数据，包括密码或者密钥，黑客可以进而执行其他攻击。

影响范围

简而言之，大量的英特尔芯片正在运行着存在漏洞的代码。影响的处理器芯片如下：

第六代，第七代和第八代英特尔酷睿处理器
英特尔至强E3-1200 v5和v6处理器
英特尔至强可扩展处理器
英特尔至强W处理器
英特尔凌动C3000处理器
阿波罗湖英特尔凌动E3900系列
阿波罗湖英特尔奔腾
赛扬N和J系列处理器

这些出问题的芯片中，英特尔管理引擎是最重要的，管理引擎是一个秘密的黑匣子。它有自己的CPU和自己的操作系统，现在使用的是一个x86 Quark核心和MINIX。

原本的设计初衷是，网络管理员可以远程登陆服务器，修复问题重装系统。

ME运行闭源远程管理软件来执行操作，但是包含漏洞，这些漏洞让黑客能够在机器上运用复杂的操作。 ME可以会被用来安装rootkit和其他形式的病毒，它们悄无声息地监控用户，窃取信息或者篡改文件。

SPS基于ME，能让攻击者通过网络远程配置基于Intel的服务器。 TXE是英特尔的硬件验证技术。此前ME上的AMT工具会被空的密码字符串绕过。

英特尔表示，现在出现的这些漏洞可能会使黑客冒充ME，SPS或TXE机制，进而让本地安全功能失效。 “在用户和操作系统的不知情的情况下加载和执行任意代码”；让系统崩溃。由于其中大部分操作需要本地访问漏洞的严重性稍微低一些。

漏洞详情

英特尔表示，使用ME固件版本11.0,11.5,11.6,11.7,11.10和11.20，SPS固件版本4.0和TXE版本3.0的系统均受到影响。具体CVE如下：

英特尔ME固件11.0.x.x / 11.5.x.x / 11.6.x.x / 11.7.x.x / 11.10.x.x / 11.20.x.x
CVE-2017-5705：“英特尔管理引擎固件11.0 / 11.5 / 11.6 / 11.7 / 11.10 / 11.20中的内核中存在多个缓冲区溢出漏洞，攻击者可以通过本地访问系统执行任意代码。已登录的超级用户或高特权程序可以在ME，操作系统和任何其他软件下执行代码。
CVE-2017-5708：“英特尔管理引擎固件11.0 / 11.5 / 11.6 / 11.7 / 11.10 / 11.20中的内核中的多个权限提升允许未经授权的进程访问受限内容。登录的用户或正在运行的应用程序可能会泄漏内存中的机密信息。
CVE-2017-5711：“英特尔管理引擎固件8.x / 9.x / 10.x / 11.0 / 11.5 / 11.6 / 11.7 / 11.10 / 11.20中的主动管理技术（AMT）中存在多个缓冲区溢出，能让攻击者通过本地访问让系统执行具有AMT执行权限的任意代码“。已登录的超级用户或高特权程序可以在AMT，操作系统和任何其他软件下执行代码。
CVE-2017-5712：“Intel管理引擎中的主动管理技术（AMT）中的缓冲区溢出固件8.x / 9.x / 10.x / 11.0 / 11.5 / 11.6 / 11.7 / 11.10 / 11.20攻击者可以使用远程管理访问让系统执行具有AMT执行权限的任意代码“。具有网络访问权限的人员，可以以管理员身份登录，在AMT中执行代码。
英特尔ME固件8.x / 9.x / 10.x
CVE-2017-5711：“英特尔管理引擎固件8.x / 9.x / 10.x / 11.0 / 11.5 / 11.6 / 11.7 / 11.10 / 11.20中的主动管理技术（AMT）中存在多个缓冲区溢出，允许攻击者使用本地访问给系统执行具有AMT执行权限的任意代码“。登录的超级用户或高级特权程序可以在AMT套件内，操作系统和任何其他软件下执行代码。
CVE-2017-5712：“Intel管理引擎中的主动管理技术（AMT）中的缓冲区溢出固件8.x / 9.x / 10.x / 11.0 / 11.5 / 11.6 / 11.7 / 11.10 / 11.20允许攻击者使用远程管理访问给系统执行具有AMT执行权限的任意代码“。具有网络访问权限的人员，可以以管理员身份登录，可以在AMT套件中执行代码。
SPS 4.0.x.x
CVE-2017-5706：“英特尔服务器平台服务固件4.0内核中的多个缓冲区溢出漏洞允许攻击者通过本地访问系统来执行任意代码。登录的超级用户或高级特权程序可以在隐藏的管理引擎，操作系统和任何其他软件下执行代码。
CVE-2017-5709：“英特尔服务器平台服务固件4.0内核中的多个特权升级允许未经授权的进程通过未指定的向量来访问特权内容”。登录的用户或正在运行的应用程序可能会泄漏内存中的机密信息。这是一个共享系统上的坏消息。
TXE 3.0.x.x
CVE-2017-5707：“Intel Trusted Execution Engine Firmware 3.0中的内核中存在多个缓冲区溢出漏洞，攻击者可以通过本地访问系统来执行任意代码。登录的超级用户或高特权程序可以在ME，操作系统和任何其他软件下执行代码。
CVE-2017-5710：“英特尔Trusted Execution Engine Firmware 3.0内核中的多个权限提升漏洞能让未经授权的进程访问受限内容”。登录的用户或正在运行的应用程序可能会泄漏内存中的机密信息。

漏洞修复

英特尔建议Microsoft和Linux用户下载并运行官方的Intel-SA-00086检测工具，检测系统是否容易受到上述漏洞影响。如果受到影响，用户必须从计算机制造商那里获取并安装固件更新。新代码由英特尔开发，但需要由各个硬件供应商签名，才能被引擎接受和安装。