Intel® Management Engine actualización crítica de firmware (Intel-SA-00086)

Documentación

Solución de problemas

000025619

08/17/2021

Intel® Management Engine (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Intel® Trusted Execution Engine (Intel® TXE 3.0) y Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

NotaEste artículo describe los problemas relacionados con las vulnerabilidades de seguridad que se encontraron en el Intel® Management Engine Firmware. Este artículo no contiene información relacionada con la vulnerabilidad del lado del canal de los procesadores (conocida como Meltdown/Spectre). Si busca información sobre el problema Meltdown/Spectre, vaya a Datos de análisis del lado del canal y los productos Intel®.

En respuesta a los problemas identificados por investigadores externos, Intel ha realizado una revisión de seguridad integral en profundidad de lo siguiente con el objetivo de mejorar la resiliencia de firmware:

  • Intel® Management Engine (Intel® ME)
  • Intel® Trusted Execution Engine (Intel® TXE)
  • Intel® Server Platform Services (SPS)

Intel ha identificado vulnerabilidades de seguridad que podrían potencialmente afectar a determinadas PC, servidores y plataformas de IoT.

Los sistemas que utilizan Intel ME firmware de Intel ME 6.x-11.x, los servidores que utilizan el firmware SPS 4.0 y los sistemas que utilizan TXE versión 3.0 se han afectados. Posiblemente encontrará estas versiones de firmware en ciertos procesadores de:

  • 1ª, 2ª, 3ª, 4ª, 5ª, 6, 7 y 8ª generación de las Intel® Core™ de procesador
  • Intel® Xeon® de productos del procesador E3-1200 v5 y v6
  • Intel® Xeon® de procesadores escalables
  • Intel® Xeon® W Processor
  • Intel Atom® familia de procesadores C3000
  • Apollo Lake Intel Atom® E3900
  • Apollo Lake Procesadores Intel® Pentium®
  • Procesador Intel® Pentium® serie G
  • Procesadores Intel® Celeron® series G, N y J

Para determinar si las vulnerabilidades identificadas afectan a su sistema, descargue y ejecute la herramienta de detección de Intel CSME versión utilizando los enlaces a continuación.

Sección de preguntas más frecuentes

Recursos disponibles

Recursos para los usuarios de Microsoft y Linux*

Recursos de los fabricantes de sistemas/motherboards

NotaCuando estén disponibles, se proporcionarán vínculos de otros fabricantes de sistemas/motherboards. Si el fabricante no aparece, póngase en contacto con él para obtener información sobre la disponibilidad de la actualización del software necesaria.


Preguntas más frecuentes:

P: La Herramienta Intel CSME de detección de versiones indica que mi sistema es vulnerable. ¿Qué debo hacer?
A:
Intel ha proporcionado a los fabricantes de sistemas y motherboards las actualizaciones de firmware y software necesarias para resolver las vulnerabilidades identificadas en el Aviso de seguridad Intel-SA-00086.

Póngase en contacto con el fabricante del sistema o la motherboard en relación con sus planes para realizar las actualizaciones disponibles para los usuarios finales.

Algunos fabricantes han proporcionado a Intel un enlace directo para que sus clientes obtengan más información y las actualizaciones de software disponibles (consulte la lista a continuación).

P: ¿Por qué debo comunicarme con el fabricante del sistema o la motherboard? ¿Por qué Intel no puede proporcionarme la actualización necesaria para mi sistema?
A:
Intel no puede proporcionar una actualización genérica debido a las personalizaciones del firmware del motor de administración realizadas por los fabricantes de sistemas y motherboards.

P: La herramienta de detección de versiones de Intel CSME reporta que mi sistema podría ser vulnerable. ¿Qué debo hacer?
A:
El estado Podría ser vulnerable por lo general se ve cuando no está instalado alguno de los siguientes controladores:

  • Intel® Management Engine Interface (Intel® MEI)
O
  • Intel® Trusted Execution Engine Interface (Intel® TXEI)

Póngase en contacto con el fabricante del sistema o la motherboard para obtener los controladores correctos para el sistema.

P: El fabricante de mi sistema o motherboard no aparece en la lista. ¿Qué debo hacer?
A: La siguiente
lista muestra los vínculos de los fabricantes de sistemas o motherboards que han proporcionado información a Intel. Si el fabricante no aparece, póngase en contacto con él utilizando sus mecanismos de asistencia estándar (sitio web, teléfono, correo electrónico, entre otros) para obtener ayuda.

P: ¿Qué tipos de acceso necesita un atacante para explotar las vulnerabilidades identificadas?
A:
Si el fabricante de equipo habilita las protecciones de escritura Descriptor Flash recomendadas por Intel, un atacante necesita acceso físico a la memoria flash del firmware de la plataforma para explotar las vulnerabilidades identificadas en:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

Fin de la fabricación

El atacante obtiene acceso físico actualizando manualmente la plataforma con una imagen de firmware maliciosa a través de un programador flash físicamente conectado a la memoria flash de la plataforma. La protección de escritura Descriptor Flash es una configuración de plataforma que se establece normalmente al final de la fabricación. La protección de escritura Descriptor Flash protege la configuración en la memoria Flash de ser modificada de manera malintencionada o involuntarla después de que se haya completado la fabricación.

Si el fabricante de equipo no habilita la protección de escritura Descriptor Flash recomendada por Intel, un atacante necesita acceso al kernel operativo(accesológico, anillo de sistema operativo 0). El atacante necesita este acceso para explotar las vulnerabilidades identificadas aplicando una imagen de firmware maliciosa a la plataforma a través de un controlador de plataforma malicioso.

La vulnerabilidad identificada en CVE-2017-5712 es vulnerable a distancia en la red en conjunto con una credencial de licencia Intel® Management Engine administrativa válida. La vulnerabilidad no se puede explotar si no hay disponible una credencial administrativa válida.

Si necesita más ayuda, póngase en contacto con Asistencia al cliente Intel para enviar una solicitud de servicio en línea.