查看原文
其他

长达9年的“骨灰级”漏洞,终于被英特尔修复了!

2017-05-03 360安全卫士

近日,英特尔发布消息称在英特尔的部分工作站和服务器芯片中存在一个长达9年之久的长老级远程执行漏洞,攻击者可能利用此漏洞远程控制受影响的系统安装间谍软件。漏洞出现在英特尔主动管理技术(AMT)、标准管理(ISM) 和小企业技术(SBT)固件版本6至11.6中,低权限的用户可以利用漏洞控制这些产品提供的管理功能。由于AMT在某些配置环境下对外开放管理端口,攻击者有可能在操作系统无法感知的层面登录到一个受影响的计算机对硬件做手脚,安装无法被检测到的恶意软件。


漏洞的影响范围及危害


这些不安全的管理功能在多种但并非全部的英特尔芯片中存在,且持续时间近10年,包括从2008年推出的NehalemCore i7到今年的Kaby Lake Core都受影响。这个漏洞存在于设备的硬件中,软件系统如操作系统、应用程序和防病毒工具都无法察觉,只有通过固件层面的更新才能完全解决问题。




这个易受攻击的AMT服务是英特尔处理器功能的vPro套件的一部分。如果系统存在vPro且已启动并对外允许访问AMT,那么未经验证的攻击者就能够访问计算机的AMT控制功能并将其劫持。如果AMT并不对外允许,那么已登录用户仍有可能够利用这个漏洞获取管理员权限。如果计算机上既没有vPro也没有配置AMT,那么就是安全的。


英特尔认为这个漏洞影响商业和服务器系统,因为它们一般安装了vPro并且启用了AMT,普通个人用户并不太可能使用这类底层管理功能。基本来说,如果你使用的设备配置了vPro且启用了AMT功能,那么你就处于风险之中。Mac设备虽然使用的是英特尔芯片,但由于并没有配置AMT软件,因此也是安全的。


漏洞的处置建议


英特尔指出这个严重安全漏洞(CVE-2017-5689)由Embedi公司的Maksim Malyutin在今年3月份发现并报告。要修复这个漏洞必须让设备厂商更新固件,不过也可以通过一些缓解措施处理。这些更新虽然是由英特尔开发的但必须经过厂商的加密签名并分发。希望厂商能在未来几周内及时推出,用户要尽快安装这些补丁。如果设备的厂商是大公司,如戴尔、联想、HP等,那么补丁会很快推出,但如果是小公司那么补可能永远不会推出。



不管是否使用AMT、ISM或SBT,都需要升级到如下已修复漏洞的版本:

第一代Core family: 6.2.61.3535

第二代 Core family: 7.1.91.3272

第三代Core family: 8.1.71.3608

第四代Core family: 9.1.41.3024 and 9.5.61.3012

第五代Core family: 10.0.55.3000

第六代Core family: 11.0.25.3001

第七代Core family: 11.6.27.3264


英特尔的处置建议:


第一步: 确认你的设备是否为具备AMT、SBA、ISM功能的系统,参照文档https://communities.intel.com/docs/DOC-5693 。如果不是,不需要做什么操作。

第二步: 使用工具检查系统使用了有漏洞的固件,参照文档https://downloadcenter.intel.com/download/26755 。如果你的系统已经是如上的不受影响的版本,不需要更多操作。

第三步: 英特尔强烈推荐检查设备的OEM厂商是否提供了更新后的固件,它会有一个3开头的4位版本号(X.X.XX.3XXX),比如 8.1.71.3608 。

第四步: 如果设备厂商还没有提供修补漏洞的固件,缓解措施请参考文档 https://downloadcenter.intel.com/download/26754


AMT是什么?


看了这麽多,有些人可能还不知道什么是AMT?


AMT是一款可通过设备的有线以太网端口16992访问的带外管理工具:它将系统的完全控制开放到网络,允许IT人员和其它系统管理员远程重启、修复并轻微调整服务器和工作站。它能够提供一个虚拟串行控制台和远程桌面访问权限。在获取权限之前正常应该要求提供密码,但是上述提到的漏洞意味着攻击者能够入侵硬件的控制面板。即使已经为系统的AMT访问权限设置了防火墙,但在用户内网的攻击者或恶意软件仍然能够利用这个漏洞进入AMT管理的工作站和服务器并进一步攻陷企业。





推荐阅读


《谍影追踪:全球首例UEFI主板BIOS木马分析》

《不忍直视:现在连勒索软件都组团虐狗了?》

《从中专肄业生到怪才黑客,这个95后中国小伙让学区房父母陷入了沉思!》

《为了拍一部《用户的名义》,“达康书记”操碎了心!》

《网上打牌输地"吐血"!原来是因为这个......》



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存