具體來說，這個漏洞存在於英特爾的主動管理技術（AMT）、標準可管理性（ISM）和小企業技術（SBT）固件版本6至11.6中。據這家芯片廠商聲稱，這個安全漏洞讓“無特權的攻擊者得以控制這些產品提供的可管理性功能。”

那就意味著，黑客有可能登錄進入到高危計算機的硬件（該硬件就在操作系統的眼皮底下），利用AMT的功能，悄悄地對機器做手腳，安裝幾乎無法被察覺的惡意軟件，以及搞其他破壞。由於AMT可以直接訪問計算機的網絡硬件，這種破壞有可能出現在網絡上。

近十年來，這些不安全的管理功能存在於眾多（但並非所有）的英特爾芯片組中，從2008年的Nehalem酷睿i7開始，一直到今年推出的Kaby Lake酷睿芯片。要命的是，這個安全漏洞就處在機器的矽片的核心位置，而操作系統、應用程序和任何反病毒軟件卻看不到它。

只有固件層面的更新，才有可能完全解決這個編程缺陷，該缺陷存在於數以百萬計的芯片中。它實際上就是潛入全球大批計算機的一道後門。

易受攻擊的AMT服務是英特爾的vPro處理器功能系列中的一部分。如果某個系統上有vPro，啟用了它，而且AMT已經配置，網絡上未驗證身份的不法分子就能訪問這臺系統的AMT控制機制，並加以劫持。如果AMT未經配置，已登錄的用戶仍有可能鉆這個安全漏洞的空子，獲得管理員級別權限。如果你的系統根本沒有vPro或AMT，那麽一點都不用擔心。

英特爾認為，這個安全漏洞影響企業系統和服務器系統，因為它們往往有vPro和AMT，並已啟用，但不影響針對普通人群的系統，因為這類系統通常沒有vPro和AMT。你可以查看該文檔（https://downloadcenter.intel.com/download/26755），看看自己的系統是否易受攻擊，你應該查看一下。

基本上來說，如果你使用的機器啟用了vPro和AMT，你就面臨危險。

據英特爾今天聲稱，這個嚴重的安全漏洞名為CVE-2017-5689，早在3月份由Embedi的馬克西姆·馬爾尤廷（Maksim Malyutin）報告。想獲得堵住漏洞的補丁，你要向計算機廠商索取固件更新版，或者試試這裏的應對措施（https://downloadcenter.intel.com/download/26754）。這些更新版有望在今後幾周內發布，應該盡快安裝。

英特爾公司發言人告訴英國IT網站The Register：“2017年3月，一名安全研究人員發現了使用英特爾主動管理技術（AMT）、英特爾標準可管理性（ISM）或英特爾小公司技術（SBT）的商務PC和設備中存在一處嚴重的固件安全漏洞，並報告了英特爾。”

“消費級PC並沒有受到該安全漏洞的影響。我們沒聽說有人鉆該安全漏洞空子搞破壞的案例。我們已實施並驗證了固件更新版，以解決這個問題；我們正在與多家設備生產商合作，盡快提供給最終用戶。”

英特爾的具體聲明

無特權的網絡攻擊者有可能獲得下列經配置的英特爾可管理性SKU的系統權限：英特爾主動管理技術（AMT）和英特爾標準可管理性（ISM）。

無特權的本地攻擊者有可能配置可管理性功能，從而對下列英特爾可管理性SKU獲得無特權的網絡或本地系統權限：英特爾主動管理技術（AMT）、英特爾標準可管理性（ISM）和英特爾小企業技術（SBT）。

很顯然，英特爾的小企業技術並不易受通過網絡實現的權限提升的影響。視受到影響的處理器系列而定，無論你使用的是AMT、ISM還是SBT，要留意的已打補丁的固件版本如下：

• 第一代酷睿系列：6.2.61.3535

• 第二代酷睿系列：7.1.91.3272

• 第三代酷睿系列：8.1.71.3608

• 第四代酷睿系列：9.1.41.3024和9.5.61.3012

• 第五代酷睿系列：10.0.55.3000

• 第六代酷睿系列：11.0.25.3001

• 第七代酷睿系列：11.6.27.3264

半導體行業記者查利·德梅爾吉安（Charlie Demerjian）在今天早些時候解釋：“簡而言之，從2008年的Nehalem直到2017年的Kaby Lake，搭載AMT、ISM和SBT的每個英特爾平臺都存在可以被人遠程攻擊的安全漏洞。”

“即使你的機器沒有配置AMT、ISM或SBT，仍有可能易受攻擊，而不是僅僅通過網絡被黑。”

德梅爾吉安還指出，現在計算機廠商有義務發布數字簽名的固件補丁，供用戶和IT管理員安裝。那意味著，如果你的硬件供應商是戴爾、惠普或聯想之類的大牌廠商，有望立馬獲得補丁。如果是藉藉無名的白盒系統經銷商，那你可能沒轍：在這個微利潤行業，發布安全、加密和固件之類的技術或服務是非常困難的工作。換句話說，你可能根本得不到所需的補丁。

AMT是什麽東東？

AMT是一種帶外管理工具，可通過網絡端口16992來使用，以便訪問機器的有線以太網接口：它將全面控制系統的功能暴露在網絡面前，讓IT人員及其他系統管理員可以遠程重啟、修復及調整服務器和工作站。它能提供虛擬串行控制臺；如果安裝了合適的驅動程序，還能提供遠程桌面訪問功能。如果這項服務暴露在公開互聯網面前，那你就危險了。

在授予訪問權限之前，理應需要管理員使用密碼來驗證身份，但是上述安全漏洞意味著，有人在身份未經驗證的情況下，就可以隨意進入到硬件的控制面板。即使你使用了防火墻，防止外界訪問系統的AMT，但是一旦有人或惡意軟件進入到你的網絡（比如說前臺的PC），就有可能鉆這個最新安全漏洞的空子，潛入到AMT管理的工作站或服務器的內部深處，對貴公司造成進一步的危害。

AMT是一種在英特爾的管理引擎（ME）上運行的軟件，十多年來（自酷睿2在2006年面市以來），這種技術就以某種方式嵌入到芯片組中。它在操作系統內核下面的所謂ring -2的部件這個層面運行，在系統上任何虛擬機管理程序的下面。它基本上就是你計算機中的第二個計算機，可以全面訪問網絡、外設、內存、存儲資源和處理器。有意思的是，該引擎由ARC CPU核心來驅動，而這種核心是16位或32位混合架構，稱得上是用於《星際火狐》等超級任天堂遊戲的Super FX芯片的“近親”。沒錯，為《星際火狐》和《Stunt Race FX》處理3D運算的這款定制芯片是悄然控制英特爾x86芯片的ARC微處理器的前身。

英特爾的ME方面的細節在過去幾年已逐漸公開：比如說，伊戈爾·斯科欽斯基（Igor Skochinsky）在2014年對它作了一番深入的介紹（https://www.slideshare.net/codeblue_jp/igor-skochinsky-enpub）。ARC核心運行來自SPI閃存的ThreadX RTOS。它可以直接訪問以太網控制器。這年頭，它內置到了平臺控制器中心（Platform Controller Hub），英特爾的這種微芯片含有眾多硬件控制器，連接到主板上的主處理器。

主板上的主處理器

ME是個黑盒子，英特爾不想透露太多的信息，不過該芯片廠商的官方網站上有部分的文檔介紹。它讓關註隱私和安全的人為之抓狂：沒人完全知道它其實做什麽；沒人知道能否真正禁用它，因為它挨近計算機中的裸機部件運行。

在一些英特爾芯片系列上，你可以有所選擇地擦除主板閃存的某些部分，徹底終結ME。

這些年來，工程師和信息安全人員一直在警告：由於所有代碼都有缺陷，英特爾的AMT軟件中肯定存在至少一處可被人遠程鉆空子的編程缺陷，而ME運行AMT，因而肯定有一種方法可以完全不用它：購買根本就沒有AMT的芯片組，而不是僅僅由硬件保險絲來禁用或斷開。

找到這樣的漏洞就好比在微軟Windows或Red Hat Enterprise Linux中，找到一個硬連線、無法移動、可遠程訪問的管理員帳戶，該帳戶使用用戶名和密碼“hackme”。只不過這個英特爾漏洞是在芯片組中，普通用戶接觸不到，現在我們等計算機廠商提供補丁。

Linux內核專家馬修·加勒特（Matthew Garrett）認為這是一個很嚴重的問題。他在這裏（http://mjg59.dreamwidth.org/48429.html）發布了關於該安全漏洞的一些更詳細的技術信息。

“修復這個漏洞需要更新系統固件，以便提供新的ME固件，包括一套經過更新的AMT代碼。許多受影響的機器不再收到來自相應廠商的固件更新，可能根本得不到補丁。”

“在其中這樣一種設備上啟用AMT的人都岌岌可危。這忽視了固件更新版很少被標為安全方面很關鍵（它們通常並不通過Windows更新來獲得）這個事實，所以就算有了更新版，用戶也可能通常不了解或不安裝它們。”

本文出自 “12629896” 博客，請務必保留此出處http://12639896.blog.51cto.com/12629896/1927489

紅色警報！intel數百萬工作站和服務器芯片隱藏安全漏洞！