英特尔曝高危漏洞 存在近十年未修补

　　一个高危漏洞存在于英特尔芯片近十年，并且早在几年前，就有机构提醒过该漏洞的存在，然而英特尔近日才公布，这究竟是什么原因导致?恐怕只有他们自己知道。

　　5月1日，英特尔(Intel)公司公布了一个严重高危(Critical)级别安全漏洞，攻击者可以利用该漏洞进行 英特尔产品系统的远程控制提权。漏洞影响所有英特尔企业版服务器和综合利用技术，涉及版本号为6.x、7.x、8.x、9.x、10.x、11.5、以及 11.6系列的所有固件产品。这意味着英特尔近十年来的固件芯片都会受到影响!

　　据雷锋网(公众号：雷锋网)了解，该漏洞主要存在英特尔管理引擎(ME )的主动管理(AMT)、服务器管理组件(ISM)、以及英特尔小企业技术(SBT)中，普通个人电脑PC由于没有相应模块，所以不会被远程控制提权。

　　“我们向英特尔反映了多年!”

　　英特尔发布公告后，国外科技曝料网站 Semiaccurate 发布文章表示：

　　我们近年来一直恳求英特尔公司尽快修复该漏洞，然而他们现在才后知后觉。

　　Semiaccurate 声称自己 5 年前就开始向英特尔公司提这个漏洞，英特尔公司10年来对该漏洞不屑一顾，选择现在进行公布修复，可能是的确受到一些重大影响而不得不承认的举措。

　　Semiaccurate 指出了漏洞的原因：

　　Intel 芯片中有一个独立于 CPU 和操作系统的微处理器，叫做英特尔管理引擎 Intel Management Engine，简称 ME。多种技术都基于ME，包括代码处理、媒体DRM、可信平台模块TPM等。

　　ME 是一个有别于 CPU 的独立系统，它可以在不受 CPU 管控下通过搭配 AMT (英特尔主动管理技术)等技术用来远程管理企业计算机。

　　据雷锋网了解，AMT 技术允许 IT 技术员远程管理和修复联网的计算机系统，它能够自动执行一个独立于操作系统的子系统，使得在操作系统出现故障的时候，管理员能够在远程监视和管理客户端、进行远程管理和系统检测、软硬件检查、远端更新 BIOS 和病毒码及操作系统，甚至在系统关机的时候，也可以通过网络对服务器进行管理操作。

　　Semiaccurate 在其文章中特别强调了一点，暗示英特尔在芯片中故意留有后门：

　　尽管英特尔对 ME 有着很多官方说明，但 ME 技术架构一直是英特尔不愿谈及的话题，因为没人真正知晓该技术的真正目的，以及是否可以做到完全禁用等。

　　而英特尔发言人则表示，该漏洞编号为 CVE-2017-5689，于3月底由安全研究者 Maksim Malyutin发现并提交。目前，固件升级补丁正在开发中，后期补丁的推送和分配必须由制造商加密签名和其它配合。希望与设备制造商积极合作，在接下来几周能尽快向终端用户提供固件升级补丁。英特尔方面目前并未发现利用该漏洞的攻击案例。

　　也有人指出，之所以英特尔忽略 Semiaccurate 的漏洞预警，很可能是因为 Semiaccurate 只是向英特尔强调 ME 这个架构存在“漏洞风险”，没能指出或者证明这个漏洞的存在。而直到今年3月底安全研究者 Maksim 提交了该漏洞，英特尔便在一个月左右公布并提出了相应解决方案。

　　应对措施

　　英特尔给出了相应的应对方案，指出要修复这个漏洞必须让设备厂商更新固件，当然用户也可以先通过一些缓解措施进行快捷处理。比如对企业级服务器下的芯片固件进行升级，需要升级的版本如下所示：

　　第一代Core family: 6.2.61.3535

　　第二代 Core family: 7.1.91.3272

　　第三代Core family: 8.1.71.3608

　　第四代Core family: 9.1.41.3024 and 9.5.61.3012

　　第五代Core family: 10.0.55.3000

　　第六代Core family: 11.0.25.3001

　　第七代Core family: 11.6.27.3264

　　除了对固件进行更新，英特尔也给出了系列处置建议：

　　①：检测你的系统中是否配置有 Intel AMT、SBA或 ISM 技术架构;

　　②：如果系统中配置有Intel AMT、SBA或ISM技术架构，检测你的系统固件是否受到影响;

　　③：及时与系统OEM厂商对更新固件进行核实，更新固件一般为四部分数位的版本号，如X.X.XX.3XXX;

　　④：如果 OEM 厂商还未发布更新固件，请及时对系统进行缓解操作。