Intel ME
2017-11-23Intel ME 是一个独立于 x86 CPU、BIOS/UEFI 固件的一个框架。这个框架分为硬件和软件两个部分,硬件部分根据 ME 版本不同分别对应 ARC4/5、SPARC 和 x86 ( =>MEv11 ) 的处理器,而软件的部分则是在 flash 中和 BIOS、GBE 以及其他固件模块打包在一起。
在 ME 这个框架以及独立的小型计算机下可以运行很多底层的应用,包括永远处于运行状态的远程管理工具包 AMT 是 ME 第一个的基于 ME 架构的应用,现在也有作为 ME 实现的 TPM: PTT,用于 remote attestion 的信任链条的 EPIDhe Boot Guard、PAVP ( Protected Audio and Video Path ) 和 SGX。
ME 也被称为 Ring -3,和 BIOS/EFI 的启动是并行的,Bootguard 的验签 OK 的话 SEC/PEI 会有序进行,但问题是在于 ME 几乎无法被关掉,为什么是几乎呢,因为一旦启动(甚至关机状态)ME 就会一直运行着,没有办法可以关掉,所以长期以来,很多人都怀疑 Intel ME 有后门嫌疑。
被认为有后门嫌疑的 Intel ME
在很长一段时间里,黑客和专家们找了各种办法关掉 ME,但都没有成功,这是为什么呢?
从硬件角度来看,ME 就是平台控制单元(PCH)芯片上的微控制器,负责处理处理器和外部设备之间的通信,由于所有这些数据流都要经过 ME 进行处理,因此系统管理员可以远程操控电脑。
之所以被称为后门,是因为这些远程处理信息并未被 PCH 芯片记录,而且有些信息还会被可以隐藏,有人怀疑这是英特尔官方有意留的后门,不过英特尔拒绝承认此事。
前段时间,研究人员发现Intel近几年处理器所用的管理引擎“ME”其实是一套完整的迷你操作系统MINIX,而且拥有Ring -3级别的至高无上权限,甚至关机都在运行,等于一个独立于计算机系统之外的迷你王国,但是Intel从未对外公开过相关信息。
研究人员担心,如此级别的核心系统如果存在任何安全隐患,威胁将是空前的,甚至无可防御,Google都已经采取行动尝试移除MINIX。
Intel今天公布一份安全报告,承认近三年的处理器中,管理引擎ME 11.0.0-11.7.0版本、可信赖执行引擎TXT 3.0版本、服务器平台服务SPS 4.0版本里,共存在多达11个安全漏洞,而被利用的环境正是MINIX!
虽然大多数漏洞都需要在本地利用,但因为ME管理引擎也支持AMT主动管理技术,远程发起攻击的可能性也非常大。
Intel也同时公布了一个检测工具(点此下载),可以帮助Windows、Linux用户检测自己的处理器是否有影响。
Intel称已经开发了补丁,但需要厂商配合部署。联想是目前唯一明确表示愿意协助用户升级的,其他厂商则只是公布了一些修复措施。
最新最顶级的18核心i7-7980XE也中招
分类:安全 | 标签: |