在過去的9年間，數以百萬計的英特爾工作站和伺服器晶片居然隱藏有一處安全漏洞，這個漏洞有可能被不法分子鑽空子，從而遠端控制系統，並利用間諜軟體感染系統。

具體來說，這個漏洞存在於英特爾的主動管理技術（AMT）、標準可管理性（ISM）和小企業技術（SBT）韌體版本6至11.6中。據這家晶片廠商聲稱，這個安全漏洞讓“無特權的攻擊者得以控制這些產品提供的可管理性功能。”

那就意味著，黑客有可能登入進入到高危計算機的硬體（該硬體就在作業系統的眼皮底下），利用AMT的功能，悄悄地對機器做手腳，安裝幾乎無法被察覺的惡意軟體，以及搞其他破壞。由於AMT可以直接訪問計算機的網路硬體，這種破壞有可能出現在網路上。

近十年來，這些不安全的管理功能存在於眾多（但並非所有）的英特爾晶片組中，從2008年的Nehalem酷睿i7開始，一直到今年推出的Kaby Lake酷睿晶片。要命的是，這個安全漏洞就處在機器的矽片的核心位置，而作業系統、應用程式和任何反病毒軟體卻看不到它。

只有韌體層面的更新，才有可能完全解決這個程式設計缺陷，該缺陷存在於數以百萬計的晶片中。它實際上就是潛入全球大批計算機的一道後門。

易受攻擊的AMT服務是英特爾的vPro處理器功能系列中的一部分。如果某個系統上有vPro，啟用了它，而且AMT已經配置，網路上未驗證身份的不法分子就能訪問這臺系統的AMT控制機制，並加以劫持。如果AMT未經配置，已登入的使用者仍有可能鑽這個安全漏洞的空子，獲得管理員級別許可權。如果你的系統根本沒有vPro或AMT，那麼一點都不用擔心。

英特爾認為，這個安全漏洞影響企業系統和伺服器系統，因為它們往往有vPro和AMT，並已啟用，但不影響針對普通人群的系統，因為這類系統通常沒有vPro和AMT。你可以檢視該文件（https://downloadcenter.intel.com/download/26755），看看自己的系統是否易受攻擊，你應該檢視一下。

基本上來說，如果你使用的機器啟用了vPro和AMT，你就面臨危險。

據英特爾今天聲稱，這個嚴重的安全漏洞名為CVE-2017-5689，早在3月份由Embedi的馬克西姆·馬爾尤廷（Maksim Malyutin）報告。想獲得堵住漏洞的補丁，你要向計算機廠商索取韌體更新版，或者試試這裡的應對措施（https://downloadcenter.intel.com/download/26754）。這些更新版有望在今後幾周內釋出，應該儘快安裝。

英特爾公司發言人告訴英國IT網站The Register：“2017年3月，一名安全研究人員發現了使用英特爾主動管理技術（AMT）、英特爾標準可管理性（ISM）或英特爾小公司技術（SBT）的商務PC和裝置中存在一處嚴重的韌體安全漏洞，並報告了英特爾。”

“消費級PC並沒有受到該安全漏洞的影響。我們沒聽說有人鑽該安全漏洞空子搞破壞的案例。我們已實施並驗證了韌體更新版，以解決這個問題；我們正在與多家裝置生產商合作，儘快提供給終端使用者。”

具體來說，英特爾宣告如下：

無特權的網路攻擊者有可能獲得下列經配置的英特爾可管理性SKU的系統許可權：英特爾主動管理技術（AMT）和英特爾標準可管理性（ISM）。

無特權的本地攻擊者有可能配置可管理性功能，從而對下列英特爾可管理性SKU獲得無特權的網路或本地系統許可權：英特爾主動管理技術（AMT）、英特爾標準可管理性（ISM）和英特爾小企業技術（SBT）。

很顯然，英特爾的小企業技術並不易受通過網路實現的許可權提升的影響。視受到影響的處理器系列而定，無論你使用的是AMT、ISM還是SBT，要留意的已打補丁的韌體版本如下：

•  第一代酷睿系列：6.2.61.3535
• 第二代酷睿系列：7.1.91.3272
• 第三代酷睿系列：8.1.71.3608
• 第四代酷睿系列：9.1.41.3024和9.5.61.3012
• 第五代酷睿系列：10.0.55.3000
• 第六代酷睿系列：11.0.25.3001
• 第七代酷睿系列：11.6.27.3264

半導體行業記者查利·德梅爾吉安（Charlie Demerjian）在今天早些時候解釋：“簡而言之，從2008年的Nehalem直到2017年的Kaby Lake，搭載AMT、ISM和SBT的每個英特爾平臺都存在可以被人遠端攻擊的安全漏洞。”

“即使你的機器沒有配置AMT、ISM或SBT，仍有可能易受攻擊，而不是僅僅通過網路被黑。”

德梅爾吉安還指出，現在計算機廠商有義務釋出數字簽名的韌體補丁，供使用者和IT管理員安裝。那意味著，如果你的硬體供應商是戴爾、惠普或聯想之類的大牌廠商，有望立馬獲得補丁。如果是藉藉無名的白盒系統經銷商，那你可能沒轍：在這個微利潤行業，釋出安全、加密和韌體之類的技術或服務是非常困難的工作。換句話說，你可能根本得不到所需的補丁。

AMT是什麼東東？

AMT是一種帶外管理工具，可通過網路埠16992來使用，以便訪問機器的有線乙太網介面：它將全面控制系統的功能暴露在網路面前，讓IT人員及其他系統管理員可以遠端重啟、修復及調整伺服器和工作站。它能提供虛擬序列控制檯；如果安裝了合適的驅動程式，還能提供遠端桌面訪問功能。如果這項服務暴露在公開網際網路面前，那你就危險了。

在授予訪問許可權之前，理應需要管理員使用密碼來驗證身份，但是上述安全漏洞意味著，有人在身份未經驗證的情況下，就可以隨意進入到硬體的控制面板。即使你使用了防火牆，防止外界訪問系統的AMT，但是一旦有人或惡意軟體進入到你的網路（比如說前臺的PC），就有可能鑽這個最新安全漏洞的空子，潛入到AMT管理的工作站或伺服器的內部深處，對貴公司造成進一步的危害。

AMT是一種在英特爾的管理引擎（ME）上執行的軟體，十多年來（自酷睿2在2006年面市以來），這種技術就以某種方式嵌入到晶片組中。它在作業系統核心下面的所謂ring -2的部件這個層面執行，在系統上任何虛擬機器管理程式的下面。它基本上就是你計算機中的第二個計算機，可以全面訪問網路、外設、記憶體、儲存資源和處理器。有意思的是，該引擎由ARC CPU核心來驅動，而這種核心是16位或32位混合架構，稱得上是用於《星際火狐》等超級任天堂遊戲的Super FX晶片的“近親”。沒錯，為《星際火狐》和《Stunt Race FX》處理3D運算的這款定製晶片是悄然控制英特爾x86晶片的ARC微處理器的前身。

英特爾的ME方面的細節在過去幾年已逐漸公開：比如說，伊戈爾·斯科欽斯基（Igor Skochinsky）在2014年對它作了一番深入的介紹（https://www.slideshare.net/codeblue_jp/igor-skochinsky-enpub）。ARC核心執行來自SPI快閃記憶體的ThreadX RTOS。它可以直接訪問乙太網控制器。這年頭，它內建到了平臺控制器中心（Platform Controller Hub），英特爾的這種微晶片含有眾多硬體控制器，連線到主機板上的主處理器。

主機板上的主處理器。

ME是個黑盒子，英特爾不想透露太多的資訊，不過該晶片廠商的官方網站上有部分的文件介紹。它讓關注隱私和安全的人為之抓狂：沒人完全知道它其實做什麼；沒人知道能否真正禁用它，因為它挨近計算機中的裸機部件執行。

在一些英特爾晶片系列上，你可以有所選擇地擦除主機板快閃記憶體的某些部分，徹底終結ME。

這些年來，工程師和資訊保安人員一直在警告：由於所有程式碼都有缺陷，英特爾的AMT軟體中肯定存在至少一處可被人遠端鑽空子的程式設計缺陷，而ME執行AMT，因而肯定有一種方法可以完全不用它：購買根本就沒有AMT的晶片組，而不是僅僅由硬體保險絲來禁用或斷開。

找到這樣的漏洞就好比在微軟Windows或Red Hat Enterprise Linux中，找到一個硬連線、無法移動、可遠端訪問的管理員帳戶，該帳戶使用使用者名稱和密碼“hackme”。只不過這個英特爾漏洞是在晶片組中，普通使用者接觸不到，現在我們等計算機廠商提供補丁。

Linux核心專家馬修·加勒特（Matthew Garrett）認為這是一個很嚴重的問題。他在這裡（http://mjg59.dreamwidth.org/48429.html）釋出了關於該安全漏洞的一些更詳細的技術資訊。

“修復這個漏洞需要更新系統韌體，以便提供新的ME韌體，包括一套經過更新的AMT程式碼。許多受影響的機器不再收到來自相應廠商的韌體更新，可能根本得不到補丁。”

“在其中這樣一種裝置上啟用AMT的人都岌岌可危。這忽視了韌體更新版很少被標為安全方面很關鍵（它們通常並不通過Windows更新來獲得）這個事實，所以就算有了更新版，使用者也可能通常不瞭解或不安裝它們。”