英特爾晶片藏漏洞 美政府籲企業修補
美國政府今天籲企業對英特爾發出的晶片安全漏洞警訊採取行動。英特爾本週承認近年售出的電腦晶片,幾乎都存有數個重大軟體安全漏洞,研究人員正趕緊了解新發現弱點的衝擊。
英特爾(Intel Corp.)昨天表示,已在「管理引擎」(Management Engine)遠端管理軟體發現安全弱點,這種軟體內建於戴爾科技(Dell Technologies)、聯想集團(Lenovo Group Ltd.)、惠普公司(HPInc.)及慧與科技股份有限公司(Hewlett PackardEnterprise Co)等製造商販售的企業電腦使用的8種處理器。
美國「財星雜誌」(Fortune)報導,這些漏洞存在於英特爾近年售出的幾乎每個主流晶片,包括2015年推出的舊版第6代Core晶片,與去年上市的第7代晶片。
安全專家表示,目前還不清楚利用這些弱點發動攻擊難度有多高,但他們覺得發現這些安全漏洞很令人困擾,因為受波及的晶片使用廣泛。
網路諮詢公司Trail of Bit安全工程師李特(JayLittle)說:「這些漏洞實質上,影響裝有Intel至少兩年前所推出處理器的每台企業電腦與伺服器。」
李特說,若要成功從遠端發動攻擊,容易遭受攻擊的機器必須設定能從遠端進入,且駭客必須知道管理者的使用者名稱與密碼。他說,如果已實際進入電腦,攻擊者不用那些認證就能入侵。
英特爾說,尚未得知有駭客利用這些弱點發動網路攻擊的案例。
國土安全部建議電腦使用者檢視英特爾警訊,英特爾也提供軟體工具檢測電腦是否裝有易遭攻擊的晶片。國土安全部也敦促他們聯繫電腦製造商,取得降低威脅的軟體更新與建議。
英特爾發言人關(Agnes Kwan)表示,公司已經提供軟體修補工具,解決所有大型電腦製造商的問題,不過是否將修補工具提供給電腦使用者,將由他們決定。
戴爾的支援網站提供伺服器補救措施,但直到今天上午尚無筆記型電腦或桌上型電腦修補工具。聯想提供部分伺服器、筆電與平台的補救措施,並表示24日將釋出更多更新。惠普今晚在網站貼出修補工具。
英特爾承認自家處理器內含漏洞,從第六代Core處理器到第八代處理器都可能被攻擊
英特爾本週承認,近年來它出售的幾乎所有PC處理器都存在多個嚴重的安全缺陷。這些安全漏洞主要集中在英特爾CPU上的「管理引擎」Intel Management Engine (ME)功能上,這個管理引擎存在多數的處理器晶片中,包括其全新的第8代核心處理器系列。
英特爾的「管理引擎」是設計用來讓電腦在啟動的時候,在進入真正的作業系統之前,會先執行一個「Minix」迷你系統,這個作用是用來保護這段期間系統的安全。諷刺的是,現在英特爾則發現因為這個管理引擎的漏洞,導致系統可能被利用來攻擊電腦。
而且,由於這個管理引擎的系統核心運作等級的權限比你的作業系統還高,它又可以控制電腦完整的檔案系統、驅動程式,甚至這個迷你系統還有自己的網頁伺服器,而且就算是當你的Windows系統在執行的時候,這個迷你系統也還在同時運作,因此就算你的Windows系統安裝了防毒軟體,如果一但被人控制了這個迷你系統,你根本沒辦法抵抗。
這個迷你系統的安全性之前就被許多安全專家提出質疑,不過在本週英特爾算是正式做出回應。英特爾表示,他們已經開發了軟體更新可以來消除這些問題,但是在它們的聲明中,實際上只有兩家廠商,聯想、Dell,有採用軟體更新的方式,來為客戶提供更新。至於其它大多數的廠商,則是在官網上提供了修正檔案,讓客戶自行下載(假如客戶知道的話)。
此外,不只是電腦廠商會用到英特爾的處理器晶片,還有一些IoT裝置,這些裝置可能永遠都不會有機會安裝更新檔案,而且特別容易受到攻擊。
英特爾表示,這個漏洞可以讓駭客在載入並且執行未經授權的程式、讓系統崩潰或者偽裝成系統安全檢查。不過,在大多數的情況下(但並非絕對),駭客還是需要在電腦旁邊才能利用這個漏洞。這個漏洞在Intel近年來販售的許多主流晶片中都存在,包括2015年推出最老的第六代Core處理器、以及去年推出的第七代處理器。
英特爾表示,消費者應該要向他們的PC製造商尋求更新程式,英特爾表示「我們與設備製造商在韌體以及軟體更新上合作,針對這些漏洞進行了修補,而這些更新現在已經可以取得了。」
全世界個人電腦裝機最廣的系統是什麼呢?是 Windows 嗎?不是;是 macOS 嗎?當然也不是;我知道了,是 GNU / Linux 吧? 很可惜的,整個「3C 設備」領域算是,但單就個人電腦市場也不是。筆者來揭曉正確答案吧:是 Minix。自 2006 年開始,每台使用 Intel CPU 的電腦裡面都有另一顆特殊的「小電腦」──Intel ME(Intel 管理引擎),其上運作 Minix 作業系統,然而現在這引起大家的憂慮。
什麼是 Intel ME?這個特殊的元件提供 Intel 的主動管理服務( Active Management Technology)機能,能進行開機防護、影音數位版權管理(Digital Restrictions Management),甚至讓企業 IT 人員可從遠端網路連線來修復和保護桌上型電腦、筆記型電腦或伺服器(也就是提供遠端遙控機制)。Intel ME 什麼時候運作呢?當你電腦開機時需要它,電腦運作時,它也在背後默默運作,甚至休眠時,它還活著可以接收來自網路的指令!現代使用 Intel core CPU 的電腦,機板上的晶片組裡都有 Intel ME 。
Minix 跟 Linux 當時一時瑜亮,在網際網路萌芽初期,有很多兩者間的技術論戰,不過後來結果大家都知道,採用 GPL 授權的 Linux 紅遍全世界,學術界、業界大幅採用,幾乎是當代工業標準,連當時最痛恨 Linux 的 Microsoft 今日也大為擁抱,而當時限制「只能做教學用途」的 Minix 從此沒有多少能見度,後來 2000 年的 Minix 3 改採 BSD 開源授權,似乎為時已晚。而今日 Intel 竟然在主機板上埋了一個 Minix ,連 Tanenbaum 本人原本都不知道也很驚喜,他還寫了一封公開信給 Intel。沒想到自當年論戰後,今天在 PC 市場的占有率,Minix 打敗了 Linux 了。
安全問題
話說回來,買一送一不是很好嗎?為何很多人擔憂這個系統呢?因為我們自己的作業系統核心運作等級是 ring 0,一般應用程式是 ring 3,然而, 當 Intel ME 上的 Minix 干涉到我們平常使用的作業系統時,其運作等級是 ring -3(負3),是最高等的權限,而據 Google 的研究發現,這一個系統可以控制到電腦完整的網路堆疊、檔案系統、許多的驅動程式(包含 USB、網路等等),甚至還有自己的網頁伺服器,在電腦開機時、運作時、休眠狀態時它都在運作,你的作業系統有設防火牆都沒有用,它看得到你所有的東西,但你卻看不到它也控制不了它,也就是說這個 Minix 是一個太上皇的存在!
這有非常大的安全隱憂,因為這個祕密的 Minix 系統跑著許多的服務,可以監控甚至干涉主作業系統的運作,但是黑箱不透明,只能仰賴 Intel 的安全更新,該系統的漏洞被駭客(cracker )找到的話,就可藉由該系統完全控制使用者電腦,從開機、關機、讀取檔案、檢查正在執行的程式、追蹤鍵盤/滑鼠動作、存取螢幕晝面等,都辦得到,這會變成很大的安全隱憂,幾乎是不設防的後門。就在今年 5 月開始,Intel ME 開始爆發嚴重資安危機(然而逆向工程專家 Igor Skochinsky 在 2012 年發表的 Rootkit in Your Laptop 已指出問題),開始漸為人關注,有許多人努力找出關閉它的方法。
Intel 埋了一個祕密的網頁伺服器在你的主機板上等著有人來敲門,卻又不跟你說會有什麼人來「參觀你的電腦」,感覺就讓人頭皮發麻,難怪 Google 等廠商正汲汲於關閉其採用數以萬計伺服器機板上的 Intel ME ,但又不能影響伺服器正常的開機。看來羊毛出在羊身上,買一送一不見得好啊。
俄國的企業安全解決方案供應商Positive Technologies周一(8/28)表示,他們找到可以關閉英特爾(Intel)管理引擎Management Engine(ME)11的方法了。
ME由一個嵌入在平台控制中心(Platform Controller Hub,PCH)的微控制器與一套內建周邊所組成,擁有自己的作業系統,因PCH幾乎經手所有介於處理器與外部裝置的通訊,也讓ME得以存取電腦上的大多數資料。企業可透過ME來管理遠端電腦,但若遭到駭客入侵,ME也會成為最大的後門,這也是為什麼英特爾對ME的韌體設計保密到家,也不斷有電腦專家企圖關閉ME。
然而,ME相依於系統啟動程序,負責初始化、電源管理與呼叫主要處理器等任務,因此並不能直接關閉它。Positive Technologies的研究人員則在ME韌體中找到一個開關,只要把參數變更為1就能在硬體初始化與主要處理器執行之後關閉ME。
事實上,Positive Technologies在ME韌體中找到的開關名稱為reserve_hap,其中的HAP為美國國安局「高可信平台」(High Assurance Platform)專案的縮寫,研究人員相信這是英特爾專為國安局的需求所保留的功能。沒想到開發人員大費周章破解的功能,竟然這麼容易就解開了。
英特爾亦回應了Positive Technologies的詢問,證實該公司的確會因應客戶的特殊要求而變更或關閉某些功能,此例的修改則是根據設備製造商的要求進行的,以支持製造商的客戶用來評估美國政府的HAP專案。不過,英特爾也強調,這些變更並非官方所支援的配置。
某老蘇說,在很久以前,他就發現80386的Bug!
所以這個問題,只要繼續買「第8代」「第9代」就能解決了!
