Moteur de gestion Intel® mise à jour critique du microprogramme (Intel-SA-00086)

Documentation

Dépannage

000025619

13/11/2023

Vulnérabilité Moteur de gestion Intel® (Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x), Moteur d'exécution fiabilisée Intel® (Intel® TXE 3.0) et Intel® Server Platform Services (Intel® SPS 4.0) (Intel-SA-00086)

Note Cet article décrit les problèmes liés aux failles de sécurité constatées dans le Intel® Management Engine Firmware. Cet article ne contient pas d’informations liées à la vulnérabilité du canal côté processeur (appelée Meltdown/Spectre). Si vous recherchez des informations sur le problème Meltdown/Spectre, rendez-vous sur Faits de l’analyse côté canal et les produits Intel®.

En réponse aux problèmes identifiés par des chercheurs externes, Intel a réalisé un examen approfondi complet des éléments suivants dans le but d’améliorer la résilience du microprogramme :

  • Moteur de gestion Intel® (Intel® ME)
  • Moteur d'exécution fiabilisée Intel® (Intel® TXE)
  • Intel® Server Platform Services (SPS)

Intel a identifié des failles de sécurité susceptibles d’avoir un impact sur certains PC, serveurs et plates-formes IoT.

Les systèmes utilisant Intel ME version 6.x-11.x, les serveurs utilisant le microprogramme SPS version 4.0 et les systèmes utilisant TXE version 3.0 sont affectés. Vous trouverez ces versions de microprogramme sur les processeurs suivants :

  • Familles de processeurs Intel® Core™ de 1re, 2e, 3e, 4e, 5e, 6e, 7e et 8e génération
  • Famille de processeurs Intel® Xeon® E3-1200 v5 et v6
  • Famille de processeurs Intel® Xeon® évolutive
  • Processeur Intel® Xeon® W
  • Famille de processeurs Intel Atom® C3000
  • Processeurs Apollo Lake Intel Atom® série E3900
  • Processeurs Intel® Pentium® Apollo Lake
  • Processeur Intel® Pentium® série G
  • Processeurs Intel® Celeron® séries G, N et J

Pour déterminer si les vulnérabilités identifiées affectent votre système, téléchargez et exécutez l’outil de détection de version Intel CSME à l’aide des liens ci-dessous.

Section Questions-réponses

Ressources disponibles

Ressources pour les utilisateurs de Microsoft et de Linux*

Ressources pour constructeurs de systèmes/cartes mères

Note Les liens des autres constructeurs de systèmes/cartes mères seront fournis lorsqu’ils seront disponibles. Si votre constructeur n’est pas indiqué, contactez-le pour plus d’informations sur la disponibilité de la mise à jour logicielle nécessaire.


Foire aux questions :

Q. : L’outil de détection de version Intel CSME indique que mon système est vulnérable. Qu’est-ce que je fais ?
R :
Intel a fourni aux fabricants de systèmes et de cartes mères les mises à jour micrologicielles et logicielles nécessaires pour résoudre les vulnérabilités identifiées dans l’avis de sécurité Intel-SA-00086.

Contactez le constructeur de votre système ou de votre carte mère concernant leurs plans pour mettre les mises à jour à la disposition des utilisateurs finaux.

Certains constructeurs ont fourni à Intel avec un lien direct pour que leurs clients puissent obtenir plus d’informations et les mises à jour logicielles disponibles (voir la liste ci-dessous).

Q : Pourquoi dois-je contacter le fabricant de mon système ou de ma carte mère ? Pourquoi Intel ne peut-il pas fournir la mise à jour nécessaire à mon système ?
R :
Intel n’est pas en mesure de fournir une mise à jour générique en raison des personnalisations du microprogramme du moteur de gestion effectuées par les fabricants de systèmes et de cartes mères.

Q : L’outil de détection de version Intel CSME signale que mon système peut être vulnérable . Qu’est-ce que je fais ?
R
: L’état Peut être Vulnérable apparaît généralement lorsque l’un des pilotes suivants n’est pas installé :

  • Interface du moteur de gestion Intel® pilote (Intel® MEI)
Ou
  • Pilote Intel® Trusted Execution Engine Interface (Intel® TXEI)

Contactez le constructeur de votre système ou de votre carte mère pour obtenir les pilotes appropriés pour votre système.

Q : Le constructeur de mon système ou de ma carte mère ne figure pas sur votre liste. Qu’est-ce que je fais ?
R :
La liste ci-dessous contient des liens provenant de constructeurs de systèmes ou de cartes mères qui ont fourni des informations à Intel. Si votre constructeur ne s’y trouve pas, contactez-le en utilisant ses mécanismes d’assistance standard (site Web, téléphone, e-mail, etc.) pour obtenir de l’assistance.

Q. : De quels types d’accès l’attaquant aurait-il besoin pour exploiter les vulnérabilités identifiées ?
R
: Si le fabricant de matériel active les protections en écriture du descripteur flash recommandées par Intel, un attaquant a besoin d’un accès physique à la mémoire flash du microprogramme de la plateforme pour exploiter les vulnérabilités identifiées dans :

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711

Fin de la production

Le pirate obtient un accès physique en mettant à jour manuellement la plate-forme avec une image de microprogramme malveillant par l’intermédiaire d’un programmeur flash connecté physiquement à la mémoire flash de la plate-forme. La protection en écriture du descripteur flash est un paramètre de plateforme généralement défini à la fin de la production. La protection en écriture du descripteur Flash protège les paramètres de Flash contre toute modification malveillante ou involontaire une fois la fabrication terminée.

Si le constructeur de matériel n’active pas la protection en écriture du descripteur flash recommandée par Intel, un pirate informatique doit pouvoir accéder au noyau d’exploitation (accès logique, système d’exploitation Ring 0). Le pirate a besoin de cet accès pour exploiter les vulnérabilités identifiées en appliquant une image de microprogramme malveillant à la plate-forme à l’aide d’un pilote de plate-forme malveillant.

La vulnérabilité identifiée dans CVE-2017-5712 est exploitable à distance sur le réseau en conjonction avec des informations d’identification Moteur de gestion Intel® administratives valides. La vulnérabilité n’est pas exploitable si les informations d’identification administratives valides ne sont pas disponibles.

Si vous avez besoin d’aide supplémentaire, contactez Intel Customer Support pour soumettre une demande de service en ligne.