5月1日據(jù)外媒（PCWorld）報(bào)道，英特爾（Intel）公司公布了一個(gè)嚴(yán)重高危（Critical）級(jí)別安全漏洞，攻擊者可以利用該漏洞進(jìn)行 英特爾產(chǎn)品系統(tǒng)的遠(yuǎn)程控制提權(quán)。漏洞影響所有英特爾企業(yè)版服務(wù)器和綜合利用技術(shù)，涉及版本號(hào)為 6.x、7.x、8.x、9.x、10.x、11.5、以及 11.6 系列的所有固件產(chǎn)品。這意味著英特爾近十年來的固件芯片都會(huì)受到影響！

據(jù)了解，該漏洞主要存在英特爾管理引擎（ME ）的主動(dòng)管理（AMT）、服務(wù)器管理組件（ISM）、以及英特爾小企業(yè)技術(shù)（SBT）中，而三者恰恰都屬于英特爾為企業(yè)系統(tǒng)而設(shè)的處理器功能套件。是說，它們本來的作用是讓 IT 部門更好地管理公司的電腦，而漏洞的存在讓心懷不軌的駭客也有了可乘之機(jī)。 普通個(gè)人電腦 PC 由于沒有相應(yīng)模塊，所以不會(huì)被遠(yuǎn)程控制提權(quán)，運(yùn)行Intel Server Platform Services的數(shù)據(jù)中心服務(wù)器也不受漏洞影響。

“我們向英特爾反映了多年！”

英特爾發(fā)布公告后，國(guó)外科技曝料網(wǎng)站 Semiaccurate 發(fā)布文章表示：

我們近年來一直懇求英特爾公司盡快修復(fù)該漏洞，然而他們現(xiàn)在才后知后覺。

Semiaccurate 聲稱自己 5 年前就開始向英特爾公司提這個(gè)漏洞，英特爾公司10年來對(duì)該漏洞不屑一顧，選擇現(xiàn)在進(jìn)行公布修復(fù)，可能是的確受到一些重大影響而不得不承認(rèn)的舉措。

Semiaccurate 指出了漏洞的原因：

Intel 芯片中有一個(gè)獨(dú)立于 CPU 和操作系統(tǒng)的微處理器，叫做英特爾管理引擎 Intel Management Engine，簡(jiǎn)稱 ME。多種技術(shù)都基于ME，包括代碼處理、媒體DRM、可信平臺(tái)模塊TPM等。

ME 是一個(gè)有別于 CPU 的獨(dú)立系統(tǒng)，它可以在不受 CPU 管控下通過搭配 AMT （英特爾主動(dòng)管理技術(shù)）等技術(shù)用來遠(yuǎn)程管理企業(yè)計(jì)算機(jī)。

據(jù)了解，AMT 技術(shù)允許 IT 技術(shù)員遠(yuǎn)程管理和修復(fù)聯(lián)網(wǎng)的計(jì)算機(jī)系統(tǒng)，它能夠自動(dòng)執(zhí)行一個(gè)獨(dú)立于操作系統(tǒng)的子系統(tǒng)，使得在操作系統(tǒng)出現(xiàn)故障的時(shí)候，管理員能夠在遠(yuǎn)程監(jiān)視和管理客戶端、進(jìn)行遠(yuǎn)程管理和系統(tǒng)檢測(cè)、軟硬件檢查、遠(yuǎn)端更新 BIOS 和病毒碼及操作系統(tǒng)，甚至在系統(tǒng)關(guān)機(jī)的時(shí)候，也可以通過網(wǎng)絡(luò)對(duì)服務(wù)器進(jìn)行管理操作。

Semiaccurate 在其文章中特別強(qiáng)調(diào)了一點(diǎn)，暗示英特爾在芯片中故意留有后門：

盡管英特爾對(duì) ME 有著很多官方說明，但 ME 技術(shù)架構(gòu)一直是英特爾不愿談及的話題，因?yàn)闆]人真正知曉該技術(shù)的真正目的，以及是否可以做到完全禁用等。

而英特爾發(fā)言人則表示，該漏洞編號(hào)為 CVE-2017-5689，于3月底由安全研究者 Maksim Malyutin發(fā)現(xiàn)并提交。目前，固件升級(jí)補(bǔ)丁正在開發(fā)中，后期補(bǔ)丁的推送和分配必須由制造商加密簽名和其它配合。希望與設(shè)備制造商積極合作，在接下來幾周能盡快向終端用戶提供固件升級(jí)補(bǔ)丁。英特爾方面目前并未發(fā)現(xiàn)利用該漏洞的攻擊案例。

也有人指出，之所以英特爾忽略 Semiaccurate 的漏洞預(yù)警，很可能是因?yàn)?Semiaccurate 只是向英特爾強(qiáng)調(diào) ME 這個(gè)架構(gòu)存在“漏洞風(fēng)險(xiǎn)”，沒能指出或者證明這個(gè)漏洞的存在。而直到今年3月底安全研究者 Maksim 提交了該漏洞，英特爾便在一個(gè)月左右公布并提出了相應(yīng)解決方案。

應(yīng)對(duì)措施

英特爾給出了相應(yīng)的應(yīng)對(duì)方案，指出要修復(fù)這個(gè)漏洞必須讓設(shè)備廠商更新固件，當(dāng)然用戶也可以先通過一些緩解措施進(jìn)行快捷處理。比如對(duì)企業(yè)級(jí)服務(wù)器下的芯片固件進(jìn)行升級(jí)，需要升級(jí)的版本如下所示：

第一代Core family: 6.2.61.3535

第二代 Core family: 7.1.91.3272

第三代Core family: 8.1.71.3608

第四代Core family: 9.1.41.3024 and 9.5.61.3012

第五代Core family: 10.0.55.3000

第六代Core family: 11.0.25.3001

第七代Core family: 11.6.27.3264

除了對(duì)固件進(jìn)行更新，英特爾也給出了系列處置建議：

①：檢測(cè)你的系統(tǒng)中是否配置有 Intel AMT、SBA或 ISM 技術(shù)架構(gòu);

②：如果系統(tǒng)中配置有Intel AMT、SBA或ISM技術(shù)架構(gòu)，檢測(cè)你的系統(tǒng)固件是否受到影響;

③：及時(shí)與系統(tǒng)OEM廠商對(duì)更新固件進(jìn)行核實(shí)，更新固件一般為四部分?jǐn)?shù)位的版本號(hào)，如X.X.XX.3XXX;

④：如果 OEM 廠商還未發(fā)布更新固件，請(qǐng)及時(shí)對(duì)系統(tǒng)進(jìn)行緩解操作。

事實(shí)上，這并不是英特爾第一次被曝出產(chǎn)品多年來存在嚴(yán)重漏洞。早在2015年，美國(guó)巴特爾紀(jì)念研究所信息安全研究員克里斯托弗-多瑪斯(Christopher Domas)就在黑帽安全大會(huì)上表示，利用英特爾x86處理器存在的一個(gè)漏洞，黑客可以在計(jì)算機(jī)底層固件中安裝rootkit惡意軟件，而這一漏洞早在1997年就已存在。

同時(shí)，多瑪斯還表示，英特爾早就知道這一問題的存在，并試圖在最新CPU中減小這一問題的影響。此外，英特爾還面向較老的處理器提供了固件升級(jí)，只不過并非所有處理器的固件都可以通過補(bǔ)丁的形式進(jìn)行修復(fù)。

關(guān)注最前沿的電子設(shè)計(jì)資訊，請(qǐng)關(guān)注“電子工程專輯微信公眾號(hào)”。