一個高危漏洞存在于英特爾芯片近十年，并且早在幾年前，就有機構(gòu)提醒過該漏洞的存在，然而英特爾近日才公布，這究竟是什么原因?qū)е拢靠峙轮挥兴麄冏约褐馈?/p>

5月1日，英特爾（Intel）公司公布了一個嚴(yán)重高危（Critical）級別安全漏洞，攻擊者可以利用該漏洞進行 英特爾產(chǎn)品系統(tǒng)的遠(yuǎn)程控制提權(quán)。漏洞影響所有英特爾企業(yè)版服務(wù)器和綜合利用技術(shù)，涉及版本號為 6.x、7.x、8.x、9.x、10.x、11.5、以及 11.6 系列的所有固件產(chǎn)品。這意味著英特爾近十年來的固件芯片都會受到影響！

據(jù)雷鋒網(wǎng)了解，該漏洞主要存在英特爾管理引擎（ME ）的主動管理（AMT）、服務(wù)器管理組件（ISM）、以及英特爾小企業(yè)技術(shù)（SBT）中，普通個人電腦 PC 由于沒有相應(yīng)模塊，所以不會被遠(yuǎn)程控制提權(quán)。

“我們向英特爾反映了多年！”

英特爾發(fā)布公告后，國外科技曝料網(wǎng)站 Semiaccurate 發(fā)布文章表示：

我們近年來一直懇求英特爾公司盡快修復(fù)該漏洞，然而他們現(xiàn)在才后知后覺。

Semiaccurate 聲稱自己 5 年前就開始向英特爾公司提這個漏洞，英特爾公司10年來對該漏洞不屑一顧，選擇現(xiàn)在進行公布修復(fù)，可能是的確受到一些重大影響而不得不承認(rèn)的舉措。

Semiaccurate 指出了漏洞的原因：

Intel 芯片中有一個獨立于 CPU 和操作系統(tǒng)的微處理器，叫做英特爾管理引擎 Intel Management Engine，簡稱 ME。多種技術(shù)都基于ME，包括代碼處理、媒體DRM、可信平臺模塊TPM等。 

ME 是一個有別于 CPU 的獨立系統(tǒng)，它可以在不受 CPU 管控下通過搭配 AMT （英特爾主動管理技術(shù)）等技術(shù)用來遠(yuǎn)程管理企業(yè)計算機。

據(jù)雷鋒網(wǎng)了解，AMT 技術(shù)允許 IT 技術(shù)員遠(yuǎn)程管理和修復(fù)聯(lián)網(wǎng)的計算機系統(tǒng)，它能夠自動執(zhí)行一個獨立于操作系統(tǒng)的子系統(tǒng)，使得在操作系統(tǒng)出現(xiàn)故障的時候，管理員能夠在遠(yuǎn)程監(jiān)視和管理客戶端、進行遠(yuǎn)程管理和系統(tǒng)檢測、軟硬件檢查、遠(yuǎn)端更新 BIOS 和病毒碼及操作系統(tǒng)，甚至在系統(tǒng)關(guān)機的時候，也可以通過網(wǎng)絡(luò)對服務(wù)器進行管理操作。

Semiaccurate 在其文章中特別強調(diào)了一點，暗示英特爾在芯片中故意留有后門：

盡管英特爾對 ME 有著很多官方說明，但 ME 技術(shù)架構(gòu)一直是英特爾不愿談及的話題，因為沒人真正知曉該技術(shù)的真正目的，以及是否可以做到完全禁用等。

而英特爾發(fā)言人則表示，該漏洞編號為 CVE-2017-5689，于3月底由安全研究者 Maksim Malyutin發(fā)現(xiàn)并提交。目前，固件升級補丁正在開發(fā)中，后期補丁的推送和分配必須由制造商加密簽名和其它配合。希望與設(shè)備制造商積極合作，在接下來幾周能盡快向終端用戶提供固件升級補丁。英特爾方面目前并未發(fā)現(xiàn)利用該漏洞的攻擊案例。

也有人指出，之所以英特爾忽略 Semiaccurate 的漏洞預(yù)警，很可能是因為 Semiaccurate 只是向英特爾強調(diào) ME 這個架構(gòu)存在“漏洞風(fēng)險”，沒能指出或者證明這個漏洞的存在。而直到今年3月底安全研究者 Maksim 提交了該漏洞，英特爾便在一個月左右公布并提出了相應(yīng)解決方案。

應(yīng)對措施

英特爾給出了相應(yīng)的應(yīng)對方案，指出要修復(fù)這個漏洞必須讓設(shè)備廠商更新固件，當(dāng)然用戶也可以先通過一些緩解措施進行快捷處理。比如對企業(yè)級服務(wù)器下的芯片固件進行升級，需要升級的版本如下所示：

第一代Core family: 6.2.61.3535

第二代 Core family: 7.1.91.3272

第三代Core family: 8.1.71.3608

第四代Core family: 9.1.41.3024 and 9.5.61.3012

第五代Core family: 10.0.55.3000

第六代Core family: 11.0.25.3001

第七代Core family: 11.6.27.3264

除了對固件進行更新，英特爾也給出了系列處置建議：

①：檢測你的系統(tǒng)中是否配置有 Intel AMT、SBA或 ISM 技術(shù)架構(gòu);

②：如果系統(tǒng)中配置有Intel AMT、SBA或ISM技術(shù)架構(gòu)，檢測你的系統(tǒng)固件是否受到影響;

③：及時與系統(tǒng)OEM廠商對更新固件進行核實，更新固件一般為四部分?jǐn)?shù)位的版本號，如X.X.XX.3XXX;

④：如果 OEM 廠商還未發(fā)布更新固件，請及時對系統(tǒng)進行緩解操作。

編輯注：本文部分參考了 Freebuf 的《卑躬屈膝“上報”多年的Intel嚴(yán)重漏洞，到現(xiàn)在才修復(fù)！》，clouds 編譯。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。