Motor de administración Intel® Actualización de firmware crítica (Intel-SA-00086)

Documentación

Solución de problemas

000025619

08/16/2018

Motor de administración Intel® (Intel® ME 6. x/7. x/8. x/9. x/10. x/11. x), motor de ejecución de confianza Intel® (Intel® TXE 3,0) e Intel® Server Platform Servicios (Intel® SPS 4,0) vulnerabilidad (Intel-SA-00086)

NotaEn este artículo se describen los problemas relacionados con las vulnerabilidades de seguridad encontradas en el firmware del Motor de administración Intel® . Este artículo no contiene información relacionada con la vulnerabilidad del canal lateral del procesador (conocida como Meltdown/Spectre). Si está buscando información sobre el problema Meltdown/Spectre, vaya a datos de análisis de canal lateral y productos Intel®.

En respuesta a los problemas identificados por investigadores externos, Intel ha realizado una revisión exhaustiva de la seguridad de lo siguiente con el objetivo de mejorar la resiliencia del firmware:

  • Motor de administración Intel® (Intel® ME)
  • Motor de ejecución de confianza Intel® (Intel® TXE)
  • Servicios de plataforma de servidor Intel® (SPS)

Intel ha identificado vulnerabilidades de seguridad que podrían afectar a determinados equipos, servidores y plataformas de IoT.

Los sistemas que utilizan las versiones de firmware 6. x-11. x de Intel ME, los servidores que utilizan la versión 4,0 del firmware de SPS y los sistemas que utilizan la versión 3,0 de TXE se ven afectados. Usted puede encontrar estas versiones de firmware en ciertos Procesadores de la:

  • las familias de procesadores de la 1ª, 2ª, 3ª, 4ª, 5ª, 6ª, 7ª y 8ª generación del procesador Intel® Core™
  • procesador Intel® Xeon® E3-1200 V5 y V6 familia de productos
  • procesador Intel® Xeon® Familia escalable
  • Procesador Intel® Xeon® W
  • La familia de procesadores Intel Atom® C3000
  • La serie E3900 del procesador Apollo Lake Intel Atom®
  • Los procesadores Intel® Pentium® de Apollo Lake
  • Procesador Intel® Pentium® Serie G
  • Los Procesadores de la serie Intel® Celeron® G, N y J

Para determinar si las vulnerabilidades identificadas afectan al sistema, descargue y ejecute la herramienta de detección Intel-SA-00086 utilizando los enlaces que se indican a continuación.

Sección de preguntas frecuentes

Los recursos disponibles

Los recursos para los usuarios de Microsoft y Linux *

NotaLas versiones de la herramienta de detección INTEL-SA-00086 anteriores a 1.0.0.146 no revisaron CVE-2017-5711 y CVE-2017-5712. Estas CVEs solo afectan a los sistemas con la tecnología Intel® Active Management (Intel® AMT) versión 8. x-10. x. Se anima a los usuarios de sistemas con Intel AMT 8. x-10. x a instalar la versión 1.0.0.146 o posterior. La instalación de esta versión ayuda a verificar el estado de su sistema con respecto al asesor de seguridad INTEL-SA-00086. Puede comprobar la versión de la herramienta de detección INTEL-SA-00086 ejecutando la herramienta y buscando la información de la versión en la ventana de salida.

Los recursos de los fabricantes de sistemas/Motherboard

NotaSe proporcionarán enlaces para otros fabricantes de sistemas/placas base cuando estén disponibles. Si su fabricante no está en la lista, póngase en contacto con ellos para obtener información sobre la disponibilidad de la actualización de Software necesaria.


Preguntas frecuentes:

P: la herramienta de detección Intel-SA-00086 informa de que mi sistema es vulnerable. ¿Qué hago?
A:
Intel ha proporcionado a los fabricantes de sistemas y placas base las actualizaciones de firmware y Software necesarias para resolver las vulnerabilidades identificadas en la asesoría de seguridad Intel-SA-00086.

Comuníquese con el fabricante del sistema o de la Motherboard con respecto a sus planes para poner las actualizaciones a disposición de los usuarios finales.

Algunos fabricantes han proporcionado a Intel un enlace directo para que sus clientes obtengan información adicional y actualizaciones Software disponibles (consulte la lista a continuación).

P: ¿por qué necesito contactar con el fabricante de mi sistema o Motherboard? ¿Por qué Intel no puede proporcionar la actualización necesaria para mi sistema?
A:
Intel no puede proporcionar una actualización genérica debido a las personalizaciones de firmware del motor de administración realizadas por los fabricantes de sistemas y placas base.

P: mi sistema se notifica como puede ser vulnerable por la herramienta de detección Intel-SA-00086. ¿Qué hago?
A:
un estado de puede ser vulnerable se suele ver cuando alguno de los siguientes controladores no están instalados:

  • Motor de administración Intel® Controlador de interfaz (Intel® MEI)
O
  • Controlador de la interfaz del motor de ejecución de confianza Intel® (Intel® TXEI)
Póngase en contacto con el fabricante del sistema o Motherboard para obtener los controladores correctos para su sistema.

P: el fabricante de mi sistema o Motherboard no se muestra en la lista. ¿Qué hago?
A:
la siguiente lista muestra enlaces de fabricantes de sistemas o placas base que han proporcionado información a Intel. Si no se muestra el fabricante, póngase en contacto con ellos utilizando sus mecanismos de Asistencia estándar (sitio web, teléfono, correo electrónico, etcétera) para obtener ayuda.

P: ¿Qué tipos de acceso necesitaría un atacante para explotar las vulnerabilidades identificadas?
A:
si el fabricante del equipo habilita las protecciones de escritura del descriptor de Flash recomendadas por Intel, un atacante necesita acceso físico al flash de firmware de la plataforma para explotar las vulnerabilidades identificadas en:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
El atacante obtiene acceso físico actualizando manualmente la plataforma con una imagen de firmware malicioso a través del programador de Flash conectado físicamente a la memoria Flash de la plataforma. La protección contra escritura del descriptor de Flash es una configuración de plataforma que se establece normalmente al final de la fabricación. La protección contra escritura del descriptor de Flash protege la configuración del flash para que no se cambie de forma malintencionada o involuntaria una vez completada la fabricación.

Si el fabricante del equipo no habilita las protecciones de escritura del descriptor de Flash recomendadas por Intel, un atacante necesita acceso de kernel operativo (acceso lógico, anillo de sistema operativo 0). El atacante necesita este acceso para explotar las vulnerabilidades identificadas mediante la aplicación de una imagen de firmware malicioso a la plataforma a través de un controlador de plataforma maliciosa.

La vulnerabilidad identificada en CVE-2017-5712 es explotable remotamente a través de la red junto con una credencial administrativa de Motor de administración Intel® válida. La vulnerabilidad no es explotable si una credencial administrativa válida no está disponible.

Si necesita más ayuda, póngase en contacto con Asistencia al cliente de Intel para enviar una solicitud de servicio en línea.